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Prólogo 


A lo largo de mi desempeño profesional y en mi recorrido 
habitual por las aulas de clase como docente universitario, 
he sido testigo de muchas de las exigencias requeridas por 
diversas empresas del ámbito industrial, comercial y educativo 
en cuanto a diseño e implementación de redes CISCO. 

Debemos saber que la mayoría de estas organizaciones 
demanda, sin duda, personal que califique como especialista 
en el ramo de las telecomunicaciones. Personas con un perfil 
altamente definido, capaces de configurar, operar, administrar 
y solucionar problemas tanto básicos como avanzados. Esta 
es una de las principales razones para comenzar a impulsar a 
que existan más estudiantes en el ámbito de las redes y mejor 
preparados para el mercado laboral. 

Esta situación generó en mí la inquietud por integrar en una 
sola obra los temas más frecuentes, relevantes y demandados 
en la actualidad en este rubro, debido a lo cual he creado una 
obra práctica, con ejercicios y demostraciones, que servirá de 
orientación para conseguir las habilidades necesarias y el perfil 
solicitado por muchas compañías. 

Se trata de un libro dirigido tanto a aquellos especialistas 
que desean tener a mano una guía o diccionario de 
configuraciones de dispositivos de networking, como a 
estudiantes que incursionan en el mundo de las redes CISCO. 
Entre otros aspectos, aborda temas desarrollados en las 
currículas de CISCO, con la finalidad de preparar a los lectores 
interesados en obtener una certificación CCNA Routing and 
Switching en el futuro. 


Gilberto González Rodríguez 
Autor Red USERS 
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El libro de un vistazo 


Este libro va dirigido a aquellos usuarios que desean tener a la mano 
una guía práctica de configuración de dispositivos CISCO y a aquellos 
estudiantes de los programas de certificación CCNA Routing and 
Switching que buscan obtener conocimientos sólidos sobre las redes 
CISCO: configuración del 1OS de routers y switches, enrutamiento, ACLs, 
direccionamiento, servicios DHCP y redes VPN. 


*A vuv 
INTRODUCCIÓN 


Haremos un estudio que abarca los principios 
básicos, la importancia y la configuración 
inicial de los dispositivos que representan la 
columna vertebral del diseño de las redes 
CISCO: el router y el switch. 


*A uu 
CONFIGURACIÓN DE ROUTERS 

En este capítulo nos enfocaremos en la 

configuración intermedia del router, mediante 

comandos desde el lOS. Analizaremos los 

niveles de control de acceso con la utilización de 

passwords y también conoceremos las técnicas 

empleadas por los expertos para la recuperación 

del sistema ante la pérdida de contraseñas. 


*A vuUx 
CONFIGURACIÓN DE SWITCHES 


Aquí conoceremos la configuración de un 
switch CISCO, centrándonos especificamente 
en la creación y gestión de VLAN. 
Abordaremos la configuración de puertos e 
interfaces, replicación de switches mediante 
VTP y enrutamiento entre VLAN. 
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ENRUTAMIENTO 


uvuv 


Veremos el funcionamiento del proceso de 
enrutamiento dentro del ámbito de las redes 
CISCO. Nos adentraremos en la configuración 
y asignación de rutas dinámicas y estáticas en 
un router, y efectuaremos un recorrido por los 
protocolos OSPF, EIGRP y BGP. 


*A vuv 
LISTAS DE CONTROL DE ACCESO (ACL) 


Aquí conoceremos las caracteristicas, las 
funciones y la clasificación de las ACL. 
Explicaremos, además, cómo crearlas y 
ponerlas en marcha sobre el router para 
efectos de seguridad en la red. Veremos 
consejos que servirán de apoyo para 
configurar una topología ACL. 


vuv 


Llegados a este punto abordaremos dos temas 
relacionados con la traducción en el ámbito 

de las redes CISCO: NAT y PAT. Conoceremos 
algunas caracteristicas, funciones, tipos de 
implementación y modos de configuración. 
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vuv 
SERVICIO DHCP 


En este capítulo daremos a conocer 

la definición, las caracteristicas y el 
funcionamiento del servicio DHCP en las redes 
CISCO. Abordaremos la forma de asignar un 
pool de direcciones desde un servidor para el 
abastecimiento de IP dinámicas a los clientes 
de la red. Y veremos también el proceso de 
configuración del cliente-servidor DHCP desde 
un router CISCO. 


vuv 


S (VPN) 


En el capítulo final analizaremos la 
importancia de una VPN en el ámbito de las 
telecomunicaciones, a partir de definiciones 


que nos conducirán hacia la compresión de 
la arquitectura y el funcionamiento de dichas 
redes. Conoceremos también los tipos de 
VPN, los modos de encriptación, cómo se 
configura un mapa criptográfico y el proceso 
de configuración de una VPN site-to-site. 


INFORMACIÓ 


uuv 


A A 
CONEXIONES FÍSICAS 


Conoceremos algunos temas concernientes 
a las redes de datos: tipos y representación 
de dispositivos de red, modos de transmisión 
de datos, medios de networking, normas 

de cableado estructurado y estándares de 
comunicación. 
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SUBNETTING Y VLSM 


uuv 


En este apéndice abordaremos las técnicas 
de subnetting y VLSM, las cuales son definidas 
usualmente como métodos que le permiten 

al administrador dividir una red en redes más 
pequeñas. 


* veux 


SERVICIOS AL LECTOR 


En esta sección daremos a conocer un 
completo índice temático y una selección de 
sitios que contienen información útil, 


OMPLEMENTARIA 


A lo largo de este manual podrá encontrar una serie de recuadros que le brindarán información complementaria: 
curiosidades, trucos, ideas y consejos sobre los temas tratados. Para que pueda distinguirlos en forma más sencilla, 


cada recuadro está identificado con diferentes iconos: 


CURIOSIDADES 
E IDEAS 


ATENCIÓN DATOS ÚTILES 
Y NOVEDADES 


O e 
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Introducción y 


Este manual contiene las bases y técnicas necesarias 
para garantizar al lector un aprendizaje simple a través 
de escenarios ilustrados y procesos descritos paso a paso. 

Sin duda, se trata de una obra que no puede de faltar en la 
biblioteca personal de ningún aficionado a las redes de datos. 

Para comenzar, se describen los conceptos básicos, el 
principio del funcionamiento de un router y un switch, sus 
características, modelos y series recientes, y los comandos 
elementales que servirán de base para configurar el sistema 
operativo de interconexión de los dispositivos CISCO, 

A lo largo de estas páginas se describen también algunos 
aspectos importantes, tales como la creación de VLAN desde 
switches CISCO, los tipos de enrutamiento de paquetes en una 
red de datos, la manera de crear listas de control de acceso 
desde un router CISCO, el modo de asignación de direcciones 
NAT, la configuración y validación del servicio DHCP y la 
creación de redes privadas virtuales (VPN). Por último, el lector 
encontrará dos apéndices que le servirán para comprender el 
contexto de esta obra. En el primer apéndice se han sintetizado 
los principios de las redes y las telecomunicaciones, mientras 
que en el segundo se aborda el tema de matemáticas para redes 
y se describen las técnicas de subnetting y VLSM. 

Como se puede apreciar, en este contenido se tratan temas 
imprescindibles y originalmente desarrollados en las currículas 
CCNA Routing and Switching y CCNP, que servirán de guía en la 
preparación para una certificación en el futuro. 


Claudio Peña Millahual 
Editor RedUsers 
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Introducción 


En este capítulo haremos un estudio que abarca los principios 
básicos, la importancia y la configuración inicial de los 
dispositivos que representan la columna vertebral del diseño 
de las redes CISCO: el router y el switch. Abordaremos sus 
componentes internos y externos, aprenderemos cómo 


conectarlos y configurarlos. 


w CISCO SysteMS.canrccannomeenassinaso 14  Enrutamiento ........ 


v Dispositivos de ted......cccarnms. ando) Operaciones 10S ........ 
y Sistema Operativo de Simuladores gráficos de red.... 43 
InterconexiÓN .occccacacconoonernerneens 30 
AA 
Introducción al 
direccionamiento IP sacacccccananos 33 0:48 
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== CISCO Systems 


Hace tiempo, las empresas fabricantes de hardware comenzaron a 
desarrollar dispositivos de conexión para redes informáticas. Entre 
ellos tenemos a D-Link, 3com (comprada por HP), Belkin, Juniper 
Networks, H3C, HUAWEI, Cnet y CISCO Systems; este último es uno 
de los representantes de TI y comunicaciones en el mundo. 


Prepare for Future Branch 
Network Needs 


.erformance and services. 


Si 


a Cisco's Mobile and Innovative, Añordable. 
As is As == 
Figura 1. CISCO Systems es hoy en día una 
empresa líder en el ramo de las TI y comunicaciones. 


La empresa CISCO se ha dedicado en gran parte al desarrollo de 
equipo para redes y a la creación de soluciones integrales Networking 
para la empresa corporativa, pues la constante innovación de sus 


uuvZ 


Ah REDUSERS PREMIUM 


Para obtener material adicional gratuito, ingrese a la sección Publicaciones/Libros dentro de http:// 


premium.redusers.com. Allí encontrará todos nuestros títulos y verá contenido extra, como sitios 
web relacionados, programas recomendados, ejemplos utilizados por el autor, apéndices, archivos 


editables. Todo esto ayudará a comprender mejor los conceptos desarrollados en la obra. 


>» Wwww.redusers.com 


ROUTERS Y SWITCHES CISCO 


productos y servicios, además del 


progresivo impulso de sus programas CISCO ES 
de entrenamiento y certificación (en El LÍDER 
comparación con otras compañías), la 

han etiquetado como la preferida por EN PROGRAMAS 


millones de usuarios en el mundo. Para DE ENTRENAMIENTO 


obtener información sobre la compañía 


podemos acceder a su página web: Y CERTIFICACIÓN 


www.cisco.com. y y 
Dispositivos de red 

Actualmente, existe una gran variedad de dispositivos de red 
que se emplean para mantener la conectividad entre un conjunto 


de equipos de cómputo u otros dispositivos, con la sola finalidad de 
compartir archivos y recursos entre sí. 


Figura 2. Los dispositivos de red hacen 
posible la conectividad entre diversos equipos de cómputo. 


Los dispositivos de red más usados hoy en día, por lo general, 
suelen clasificarse en dos: cableados e inalámbricos. Del lado de 
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los equipos para la implementación de redes cableadas, tenemos 
principalmente el router y el switch.Ambos representan la columna 
vertebral de conexión en redes informáticas, sin dejar de tener en 
cuenta la importancia de los tradicionales hub (repetidores de señal 
y los splitter), que funcionan como equipo auxiliar para la conexión. 
Del otro lado, tenemos los dispositivos inalámbricos o Wireless 
Devices. Ejemplo de ello son los llamados puntos de acceso 
inalámbrico (AP) y los routers inalámbricos multifunción (modem- 
router WI-FI). Recordemos que los routers y los switches permiten la 
comunicación entre los diferentes equipos conectados en una red o 
conjunto de redes. Aunque en esencia son muy parecidos, tanto los 
switches como los routers realizan funciones muy distintas. Por lo 
tanto, no debemos confundirlos. Más adelante, en la sección Routers 
CISCO y Switches CISCO, respectivamente, describiremos en detalle las 
características de cada uno. 


Figura 3. Algunos dispositivos de red CISCO, como los 
routers o switches, integran un sistema operativo llamado TOS. 


En la actualidad, la tecnología ha hecho posible que algunas gamas 
de dispositivos de red puedan ser administradas por el mismo usuario, 
con la finalidad de equiparlas de acuerdo con nuestras necesidades y 
exigencias. El nombre que ha dado CISCO a este tipo de dispositivos es 
simplemente equipos administrables y no administrables. 
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Para complementar lo anterior, se puede decir que hoy en día 
algunos fabricantes como 3com (actualmente HP) han hecho 
posible la integración de interfaces de línea de comandos para 
su configuración. Desde luego que CISCO no es la excepción, 
pues de hecho es de las pocas compañías que han equipado sus 
dispositivos con un software interno llamado Sistema Operativo 
de Interconexión o 1OS (Interconection Operating System), el 
cual permite una amplia gama de operaciones de personalización 
del equipo. En la sección Sistema Operativo de Interconexión 
abordaremos mayor información respecto al tema. 


Routers CISCO 


Los routers son dispositivos de Networking que cumplen 
con la tarea de comunicar una red con otra. Por ejemplo, podemos 
utilizar un router para conectar un conjunto de computadoras 
en red a internet y, de esta forma, compartir 
dicha conexión entre varios usuarios. Esto es 


posible a través del conocido enrutamiento LOS ROUTERS 

de datos, proceso que tiene a bien optimizar PERMITEN EFECTUAR 

tiempos en la entrega y recepción de paquetes A 

de información enviados. En la mayoría de los LA COMUNICACIÓN 

casos, este proceso permite tanto la reducción de DE UNA RED 

trayectorias como la garantía en la integridad de 

la información entregada. CON OTRA 
Los routers actuales cumplen con la tarea 

de proteger la información de amenazas a e » 

la seguridad e, incluso, pueden ser capaces de decidir (mediante 


políticas establecidas) qué computadoras tienen prioridad sobre las 


Ho) ROUTERS DE CHAROLA Y RACK 


Hoy en día, es habitual encontrarnos con equipos de red CISCO con dos gamas de montaje fisico dife- 
rentes: los equipos para montaje sobre charola y los equipos de rack. Recordemos que la adquisición 
por estructura fisica depende siempre de la necesidad del cliente. Actualmente se desarrollan ambas 
arquitecturas para cualquiera de sus series y modelos. 
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demás. Debemos considerar que, hoy en día, existen routers que han 
optado por la integración de funciones especiales internas tales como: 
seguridad (con la incorporación de firewalls), conexiones privadas 
virtuales (implementación de métodos VPN) y tecnologías Vo-IP. 


Figura 4. Los routers posibilitan la interconexión de una 
red con otra. Por lo general, estos trabajan mediante tablas de ruteo. 


Series del router CISCO 

En el mercado, es habitual que encontremos una gran variedad de 
modelos tanto de routers como de switches. Esto provoca, en muchos 
usuarios, cierta confusión o problemas para elegir el equipo que 
satisfaga sus necesidades. 

Los routers CISCO, por lo general, están clasificados por 
series y modelos, lo que significa que su uso está enfocado 
a las necesidades comerciales de algún cliente en particular 
(en su mayoría pequeñas y medianas empresas), pues la cantidad 
y precisión de los servicios que desea integrar deberán estar 
siempre en función del modelo elegido. 

Aunque hoy en día la mayoría de los equipos nuevos incluye una 
modalidad multiservicio (es decir, una gran variedad de opciones 
de seguridad, integración de voz y datos o VoIP, interfaces de última 
generación y una gama de procesadores de alto rendimiento), siempre 
es recomendable mantenernos informados. 
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Para evitar adquirir un equipo que no se apegue a nuestros 
requerimientos, en la siguiente Tabla le invitamos a conocer algunas 
series, modelos y características técnicas: 


TABLA 1: SERIES Y MODELOS DE ROUTERS CISCO ES 
y RAM (DEFAULT/ y MEMORIA FLASH 

ME y MODELO MÁXIMA) y BOOT /NVRAM (DEFAULT / MÁXIMA) 

1800 1841 256MB / 384MB 64MB / 128MB 

1900 1921 512MB/512MB 256MB/256MB 

1900 1941 512MB/2GB 256MB/4-8GB 

2600 2620XM /2621XM  128MB / 256MB 32MB / 48MB 

2800 2801 128MB / 384MB AMB 64MB / 128MB 

2800 2811 256MB / 1024MB 2MB 64 - 128MB / 256MB 

2900 2901 512MB / 2GB 256MB / 4GB 

2900 2911 512MB / 2GB 256MB / 4GB 

3900 3925/3945 168/2GB 256MB/AGB 


Tabla 1. Series y modelos de routers CISCO más utilizados actualmente. 


Figura 5. En esta imagen se muestran algunos 
modelos de routers CISCO de las series 1800 y 2600. 
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Switches CISCO 


Los switches, a diferencia de los routers, son dispositivos de red 
que se utilizan para conectar varios equipos a través de la misma 
red dentro de un área geográfica pequeña (edificio, hogar o negocio). 
Por ejemplo, un switch funciona como enlace de dispositivos finales 
(end devices) tales como computadoras, impresoras, copiadoras o 
servidores, creando así una red de recursos compartidos. Por tanto, 
el switch actuaría de concentrador, permitiendo a los diferentes 
dispositivos compartir información y comunicarse entre sí. Esto 
permite la optimización de costos y el aumento de la productividad. 
En el mercado informático existen dos tipos básicos de switches: 


+ Los no administrables (no configurables). 
+ Los administrables (configurables). 


Press RETURN to get started. 


Router>enable 

Routerfconfig terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) thostname USERS 

USERS (config) | 


Figura 6. Los dispositivos de red CISCO 
administrables permiten al usuario su configuración. 


Los primeros funcionan de forma automática, lo que significa 
que no aceptan cambios en su configuración (usados comúnmente en 
redes domésticas o de oficina). En tanto, los switches administrables 
permiten su configuración o programación, lo que supone una gran 
flexibilidad porque el switch se puede supervisar y ajustar de forma 
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local o remota a las necesidades presentadas por el cliente. Estos 
equipos nos permiten mantener el control del desplazamiento del 
tráfico en la red y los accesos a ella. 


Series del switch CISCO 

Los switches CISCO también están clasificados por series y 
modelos al igual que los routers. En la siguiente Tabla se muestran los 
modelos y series utilizados actualmente, junto a sus características: 


TABLA 2: SERIES Y MODELOS DE SWITCHES CISCO ES) 


y RAM(DEFAULT/ y ANCHO y MEMORIA FLASH 


3:13 MODELO £ 7 
Y Y MÁXIMA) DE BANDA (DEFAULT / MÁXIMA) 


Tabla 2. Series y modelos de switches CISCO utilizados actualmente. 


Como recomendación, antes de adquirir cualquier dispositivo de red, 
es necesario también evaluar las necesidades comerciales del cliente, 
la magnitud de su empresa y desde luego las exigencias con respecto a 


Ho) TARJETAS WIC 


WIC proviene del término en inglés WAN Interface Card. Se trata de un adaptador de red especialmente 


diseñado para dispositivos CISCO. Los routers y los switches incorporan una serie de bahías en la parte 
trasera que sirven para conectar estos elementos. En el mercado informático se pueden encontrar WIC 
con puertos seriales y puertos ethernet en su mayoría. 
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capacidad, conectividad y escalabilidad. Para mayor información sobre 
series y modelos de los dispositivos de red, recomendamos verificar la 
ficha técnica u hoja de datos (data sheet) de los productos CISCO, a 
través de su página de internet. 


Catalyst 2950 Series 


Figura 7. Los switches CISCO de las series 2950 
y 2960 incorporan una amplia flexibilidad y un óptimo desempeño. 


Composición de los 
routers y switches CISCO 


Los routers y los switches son dispositivos de red cuya estructura 
tanto interna como externa no dista demasiado de la que presenta una 
computadora convencional. Excepto porque el equipo de red no cuenta 
con un monitor, teclado, ni ratón. 


Componentes externos 

Para ilustrar el tema de los componentes externos de un router CISCO, 
imaginemos por un momento el gabinete de nuestra computadora 
personal. La estructura física de este elemento es, por lo general, una 
caja metálica que a su vez se encuentra constituida por un conjunto 
de elementos tales como un interruptor de encendido y apagado, un 
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conector AC (una fuente de poder), un conjunto de interfaces 
de conexión (así como puertos) y algunas bahías de expansión. 
Si ya lo hemos imaginado, ahora basta con solo echar una simple 
mirada a la estructura física de un router. Si somos observadores, 
llegaremos a la conclusión de que su aspecto es muy parecido al de 
nuestra PC. E incluso a nivel software, pues algunas series y modelos 
de routers CISCO también cuentan con un sistema operativo 
configurable que los hace funcionar. 

En la siguiente Guía visual, se aprecian en detalle los componentes 
externos que presenta un router CISCO. 


GV: COMPONENTES EXTERNOS DE UN ROUTER CISCO 


0 1 Interfaces ethernet: se trata de puertos físicos RJ-45 situados en el panel frontal o trasero 
del equipo. Permiten conectar otros dispositivos como switches. 


0 Pd Interruptor de poder: conocido como switch de encendido y apagado del equipo. Al activarlo, 
el router hace el reconocimiento automático del S.0. Prácticamente cualquier router lo 
incorpora a diferencia de los switches CISCO. 


0 3 Conector de voltaje: nos permite conectar el equipo a corriente eléctrica. Conocido 
simplemente como conector hembra AC. 


0 4 Slot WIC/interfaces: se trata de un espacio destinado a la colocación de tarjetas periféricas 
que permiten expandir las funcionalidades del router (por ejemplo: mayor cantidad de 
interfaces ethernet o interfaces seriales). Las interfaces, generalmente, nos permiten 
conectar otros dispositivos de red e incluso dispositivos finales (end devices). » 
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0 5 Puerto Console/Aux: se trata de puertos RJ-45 que se encuentran situados en alguno de los 
paneles del equipo CISCO. El puerto Console sirve para conectar el equipo de red a la PC: 
donde será configurado. El puerto auxiliar nos permite la conexión de otros equipos de red 
como el modem. 


0 6 Puerto USB: son interfaces de conexión presentes en algunos modelos y series de los 
dispositivos de red. Habitualmente, permiten la inserción de memorias USB para el 
intercambio de información. 


0 7 Tarjeta de memoria flash: es una tarjeta física, cuya función es muy parecida a la del disco 
duro de una PC, pues se encarga de almacenar el S.O. del equipo de red. 


Componentes internos 

Los dispositivos de red CISCO (routers y switches), al igual que una 
computadora, están también compuestos por una CPU, una memoria 
RAM, una unidad de almacenamiento (memoria flash en equipos 
CISCO), un conjunto de módulos de memoria ROM (uno de ellos mejor 
conocido como NVRAM) y un conjunto de interfaces de conexión. 


TT 


Figura 8. En la presente imagen se muestran 
los componentes externos de un switch CISCO. 
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También podemos identificar estos elementos como datos técnicos 
del dispositivo de red. A menudo pueden consultarse desde el 1OS 
mediante el uso del comando show version. Más adelante, en la sección 
Sistema Operativo de Interconexión, conoceremos la interfaz del 
10S y la forma de colocar un comando desde su terminal. 


Preparación del 
dispositivo de red CISCO 


Como vimos anteriormente, existen dispositivos de red que por 
diseño son administrables y otros que no lo son. Ahora bien, quizá 
muchos nos estemos preguntando: ¿de qué modo puedo administrar 
o configurar mi dispositivo de red a mis necesidades? La respuesta 
es simple: el modo de operación con un dispositivo como el router o 
el switch se consigue mediante su conexión con una PC convencional 
(pudiendo usar también una laptop). Existen varios medios por los 
cuales acceder a la CLI (Command line interface — Interfaz de línea 
de comandos) del equipo, tales como: terminales virtuales (Telnet 
o SSH), servidor TFTP, software de gestión o también a través del 
acceso directo por consola, 


Figura 9. En la imagen se observa un cable de consola 
tradicional, que sirve para configurar los dispositivos de red. 
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Para conseguir la conexión entre la computadora y el dispositivo de 
red se necesita contar con lo siguiente: 


+ Un medio de transmisión especial llamado cable de consola. 

+ Un cable de corriente que se hará cargo de conectar el dispositivo a 
la toma de corriente alterna para conseguir su encendido. 

+ Una hyperterminal instalada en la PC utilizada para la 
configuración (algunas versiones o ediciones de Microsoft Windows 
ya traen incluida una hyperterminal. De no ser así, es necesario 
descargarla y posteriormente instalarla). 


A partir de ese momento, el usuario podrá interactuar con el 
dispositivo de red a través de su sistema operativo. 


A] 
_— 
tu coto | 


Enter anams and crcose an'con orths connector: 


More 
[users 
lan 


EXI 


(7 om || 


Figura 10. La hyperterminal consiste en una interfaz 
que hace posible la interacción del usuario con el dispositivo de red. 


En el siguiente Paso a paso se ilustra en forma detallada la manera 
correcta de conseguir la preparación del dispositivo de red para 
efectuar su configuración inicial. 


Ho EL CONVERTIDOR USB A DB-9 


El cable de consola utilizado para configurar equipos CISCO es a menudo conocido como cable rollover, 
Esta configuración hace posible la comunicación de una PC con el dispositivo de red mediante un puerto 
serie DB-9. ¿Alguna vez se ha preguntado qué hacer ante la ausencia del puerto serie en su computado- 
ra? La respuesta está en adquirir un adaptador USB-Serie. 
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N DEL DISPOSITIVO D 


0 En primer lugar, se debe conectar el dispositivo a corriente eléctrica (mediante el 
uso de su cable de alimentación AC). 


0 Una vez hecho esto, es necesario hacer la conexión de la computadora al dispositivo 
mediante el uso del cable de consola. Para esto, conecte uno de los extremos al 
dispositivo de red (terminal RJ-45), y el otro extremo a la PC. Encienda el equipo. 
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»> 


0 Ahora, basta con ejecutar la hyperterminal previamente instalada en su PC. Una 
vez hecho lo anterior, aparecerá la ventana Connection Description, donde 
tiene que elegir cualquier icono y colocar un nombre. Por ejemplo: USERS 
(identificador del router). Posteriormente presione el botón OK. 


Enter a name and choose an con for the connection 
Name: 
fusers 


398002 


m y 


(7 ome | 


0 Después aparecerá la ventana Connect to, la cual solicita la elección de un 
puerto válido de conexión para la consola. Elija COMx y presione el botón OK. 


LA USERS 


Enter detads forthe phone number that you wark to día: 
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0 Posteriormente, aparecerá la ventana de las propiedades de dicho puerto. Verifique que 
los parámetros de configuración del equipo sean iguales a los que muestra la imagen. 
Termine oprimiendo clic en el botón ApTicar y después sobre el botón Aceptar. 


0 Una vez hecho esto, notará que se ha dado comienzo a la lectura del 10S mediante 
una interfaz a modo texto. Esta interfaz corresponde al S.O. de los dispositivos de 
red CISCO administrables (105). 


louter cent 43 now available 


[ross RETURN to get started. 


¿nel 


Tomands. one per line. End with ONTL/Z 
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= Sistema Operativo 


de Interconexión 


EL 1OS (Interconection Operating System), o Sistema Operativo 
de Interconexión, es el nombre del software que hace funcionar los 
dispositivos de red CISCO. Por lo general se halla cargado en forma 
predeterminada en la memoria flash del equipo utilizado. Se trata 
básicamente de una interfaz de línea de comandos de configuración de 
red (Command line interconection) o CLI. 

Hoy en día, todo sistema operativo, por lo general, maneja algo que 
se conoce como cuentas de usuario. El IOS de CISCO no es la excepción, 
solo que aquí se le conoce con el nombre de modos de acceso o 
modos de ejecución (EXEC). 


Configuración inicial 
Una bdo hemos preparado el dispositivo de red para ser 
configurado, y que hayamos verificado la carga del sistema operativo 
con éxito mediante la hyperterminal, podremos comenzar a 
personalizar el equipo según nuestras necesidades. 
Notemos que la primera pantalla arroja información elemental 
del dispositivo por preparar, tal como: serie 
y modelo del equipo, versión, fabricante, 


ANTES DE cantidad de memoria RAM, tipo de 
PERSONALIZAR microprocesador, número de interfaces, 
cantidad de NVRAM, capacidad de la compact 
VERIFICAMOS flash, etcétera. Finalmente, aparece un diálogo de 
LA CARGA CON configuración de sistema (system configuration 


dialog), el cual tiene como finalidad brindar una 


HYPERTERMINAL serie de cuestiones para la configuración inicial 


Ml 


del dispositivo. En esta sección el usuario es libre 
de hacer la configuración a través del diálogo de 
configuración, u optar por hacerla de manera manual más adelante. Si 
hemos optado por comenzar ahora, será necesario colocar Yes a las dos 
preguntas iniciales. De lo contrario, lo habitual es colocar No. 
Aquí es importante aclarar un punto: si el usuario es primerizo 
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en la configuración de algún dispositivo, se recomienda optar por 
posponer el proceso de configuración inicial (mostrado en el diálogo 
de configuración de sistema), pues seguramente habrá datos que 
desconozca al momento de vaciar la información. 


--- System Configuration Dialog --- 
Continue with configuration dialog? [yes/no]: yes 
At any point you may enter a question mark '?' for help. 


Use ctrl-c to abort configuration dialog at any prompt. 
Default settings are in square brackets '[]'. 


Basic management setup configures only enough connectivity 
for management of the system, extended setup will ask you 
to configure each interface on the system 


Would you like to enter basic management setup? [yes/no]: yes 
Configuring global parameters: 


Enter host name [Router]: ) 


Figura 11. Al inicializar el IOS del dispositivo de red CISCO, aparece 
(entre otros datos) el diálogo de configuración de sistema. 


Modos EXEC 


Es importante considerar que el sistema 
operativo de los routers y switches maneja EL SISTEMA 
generalmente dos tipos de modos de acceso: OPERATIVO DE UN 
el modo EXEC privilegiado y el modo no 
privilegiado (o simplemente EXEC usuario). ROUTER Y SWITCH 


El primero se caracteriza por ser un modo MANEJA DOS TIPOS 
de acceso con privilegios de administración 

del sistema, mientras que el modo de acceso DE ACCESO 
usuario se halla limitado para cualquier cambio 

en la configuración del equipo, delegándole así y 
únicamente la verificación de la información establecida. 


Como es habitual, al primer contacto con el sistema de los 
dispositivos de red, nos encontraremos siempre con el modo EXEC 
usuario, el cual a menudo se identifica con un símbolo inicial (>), 
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seguido del nombre del equipo empleado (que por default se llama 
router o switch, según sea el caso). Para pasar del modo usuario a 
modo privilegiado es necesario ejecutar la orden enahle, y para regresar, 
basta con teclear el comando contrario, en este caso: disable. Notemos 
que el prompt del sistema ha cambiado de aspecto. 


Processor board ID JADOS19OMIZ (4292891495) 
M860 processor: part number 0, mask 49 
Bridging software. 

X.25 software, Version 3.0.0. 

2 FastEthernet/IZEE 802.3 interface(s) 

32K bytes of non-volatile configuration memory. 
63488K bytes of ATA CompactFlash (Read/Write) 


—— System Configuration Dialog -—- 


Continue with configuration dialog? [yes/no]: no 


RETURN to get started! 


Router>enable 
Routerfdisable 


Rout 
Figura 12. Para pasar de modo EXEC usuario a modo 
EXEC privilegiado es necesario ejecutar el comando enable. 


Modo global de configuración 

El modo global de configuración es el espacio otorgado por el 
dispositivo de red a todo aquel usuario con privilegios. Para tener 
acceso a este espacio, es necesario ejecutar el comando configure 
terminal. Para finalizar, basta con oprimir la tecla ENTER. Aquí 
nuevamente el prompt cambia, esta vez al modo de configuración. 


0444 


¡Ny VERSIÓN 10S PARA EQUIPOS 2900 


La serie 2900, originalmente desarrollada por CISCO Systems para sus ruteadores, incorpora una nueva 


versión en su lOS, Para conocer detalles al respecto, se recomienda colocar el comando show version desde 
la terminal del equipo. Por ejemplo, la versión del lOS para dispositivos del modelo 2901 de CISCO es la 15.0. 
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4 FastEthernet/IZEE 802.3 interface (s) 

2 Low-speed serial (sync/async) network interface(s) 
32K bytes of non-volatile configuration memory. 
63488K bytes of ATA CompactFlash (Resd/Mrite) 


——- System Configuration Dialog --- 


Continue with configuration dialog? [yes/nc]: n 


Press RETURN to get started! 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) ?| 


Figura 13. Para pasar de modo EXEC 
privilegiado al modo global de configuración 
se puede ejecutar la orden configure terminal. 


= Introducción al 
direccionamiento IP 


Antes de comenzar con la configuración de dispositivos de red, es 
importante conocer algunos conceptos básicos y también avanzados 
sobre direccionamiento IP. Para ello será necesario que definamos en 
forma detallada el término dirección IP. 

Una dirección IP se define como un conjunto de números decimales 
que tienen a bien identificar cualquier equipo conectado a una red 
de trabajo (como computadoras, copiadoras, impresoras, servidores, 
routers, switches, entre otros), con el fin de poder ubicarlos en la red 
sin mayor problema. Algo así como identificar a un alumno por su 
ID de estudiante, dentro de un aula de clase. Desde luego que para 
nuestro ejemplo el alumno representa al equipo y el aula, la red. 

Una dirección de red o IP (dirección estándar IPv4) se compone de 
cuatro octetos (conjunto de 8 bits) separados por un punto, que a su 
vez forma un total de 32 bits. 
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Dirección IP 


Los 32 Bits son formados por 4 Octetos. 
1 Octeto = 8 Bits 


Figura 14. Las direcciones IP se componen de 
cuatro octetos y un total de 32 bits. Cada 
octeto se encuentra separado por un punto decimal. 


Derivado de lo anterior, podemos deducir que la combinación de 
letras (dirección de red) y el número (dirección de host) se encarga 
de crear una dirección de red única para cada interfaz o punto de 
conexión del dispositivo aunado a la red. 

Otra palabra que no podemos dejar pasar inadvertida es el 
término: protocolo. Generalmente se lo define como un estándar de 
comunicación existente en toda red informática. Y aunque existe una 

gran cantidad de protocolos de comunicación, 
vale destacar que los más conocidos son, sin 


PROTOCOLO ES duda: el conjunto de protocolos TCP/IP (Transfer 
UN ESTÁNDAR DE control protocol/Internet protocol - Protocolo de 

A control de transferencia/Protocolo de internet). 
COMUNICACIÓN Esta familia de protocolos particularmente 


EXISTENTE EN TODA tiene como objetivo principal lograr la 


comunicación entre los diferentes puntos de la 
RED INFORMÁTICA red, y que por lo general, se hallan vigentes en 
todas las redes de computadoras. 


Un protocolo puede compararse con un 
lenguaje (por ejemplo, el lenguaje corporal en seres humanos) 


mediante el cual nos podemos comunicar con el exterior. 
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Capas TPC/IP Protocolos 


Token Ring, PPP ATM Ñ 
> 


Figura 15. El modelo TCP/IP a su vez se integra 
de un conjunto de protocolos que logran la comunicación. 


Clases de direcciones IP 


Las direcciones IP se dividen en clases para definir las redes 
de tamaño pequeño, mediano y grande. En teoría, tenemos de la 
Clase A hasta la Clase E. Aunque las tres primeras (A, B, C) suelen 
ser las más comerciales. 

Las direcciones Clase A normalmente se asignan a las redes de 
mayor tamaño. Las direcciones Clase B se utilizan para las redes de 
tamaño medio y las de Clase C para redes pequeñas. Por regla general, 
toda dirección IP viene acompañada de otra dirección muy similar 
en cuanto a estructura, conocida como máscara de red. Su objetivo 
es indicar el rango en el que juega un equipo en la red, mediante el 
número de bits correspondientes a la sección de red (denotados por el 
número 255) y de host (denotados con el número 0), respectivamente. 
Para comprender mejor la explicación previa, veamos la siguiente tabla: 


(1) 340 SEXTILLONES DE DIRECCIONES IP 


La IETF (Internet Engineering Task Force) ha implementado una nueva versión del protocolo de internet. 
Se trata de la versión 6 (IPv6) que posee direcciones cuya longitud es de 128 bits, que nos da un total 
de 340 sextillones de direcciones IP en comparación con la versión IPv4 del protocolo de internet. 
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TABLA 3: CLASES DE DIRECCIONES IP 


y CLASE DE DIRECCIÓN IP y INTERVALO DEL 1ER.OCTETO y MÁSCARA DE RED 


Tabla 3. Rangos en las clases de direcciones IP. 


Hay que resaltar que el intervalo de direcciones 127.X.X.X está 
reservado como dirección loopback, con propósitos de prueba y 
diagnóstico, en tanto que las Clases D (que comprenden un rango de 
224 a 239) son utilizadas para grupos multicast y la Clase E se halla 
reservada para fines de investigación. 


= Enrutamiento 


El enrutamiento de paquetes es el principal propósito de los 
routers o enrutadores, pues gracias a ellos se hace posible el trazado 
de rutas para el envío y la recepción de los datos en una red a través de 

sus puertos. Consideremos que la determinación 
del enrutamiento se puede llevar a cabo mediante 


LOS ROUTERS dos métodos: manual (se trata de un proceso 
CUMPLEN CON EL ejecutado por el administrador) o mediante 
procesos dinámicos ejecutados en la red. 
ENRUTAMIENTO DE Hoy por hoy, existen dos tipos de enrutamiento 
PAQUETES COMO conocidos en el ámbito CISCO: el estático y el 
A dinámico. El primero se rige dentro del principio 
PRIMERA FUNCIÓN de definición de rutas estáticas específicas que 


han de seguir los paquetes para pasar de un 
Ly ko puerto de origen, hasta un puerto de destino. 
Normalmente es aplicable para redes pequeñas. En tanto que el 
enrutamiento dinámico requiere de un trazado de rutas mediante 
el uso de un conjunto de protocolos de comunicación (los cuales se 
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darán a conocer en el Capítulo 2 de este libro) para el intercambio 
de información sobre cómo llegar a todos los destinos. Su uso es 
comúnmente aplicable en redes grandes. 


De: 10.0.0.2, 3064 |-De:10-0-0-2, 3064 | 
A: 2.3.4.5, 80 De: 1.1.1.1, 4567 


4:11:14, A4567—| A: 1.1.1.1, 4567 
De: 10.0.0.2, 3064 


A 
10.0.0.1 1.1.1.1 


10.0.0.2 


Figura 16. El propósito principal del enrutamiento 
consiste en la propagación de información sobre 
rutas para actualizar las tablas de ruteo. 


UNA EMPRESA RECONOCIDA 


La Great Place to Work Institute distingue a las empresas que ponen en práctica políticas de recursos 
humanos y mejores prácticas organizacionales, pues al incrementar los niveles de confianza de sus em- 


pleados, mejoran sus resultados de negocios. CISCO es catalogado como el líder mundial en soluciones 
de redes que transforma el modo en que los usuarios se conectan, se comunican y colaboran. 
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= Operaciones lOS 


En esta sección vamos a mostrar algunos comandos básicos 
empleados en la interfaz del 1OS de los dispositivos de red. También 
conoceremos algunas formas de abreviar comandos con el único 
propósito de reducir tiempos de operación y finalizaremos dando a 
conocer algunos atajos de teclado para hacer más dinámica nuestra 
navegación por la interfaz de configuración. 

A continuación analizaremos la forma de obtener ayuda al momento 
de estar trabajando con el 10S de los dispositivos CISCO. 

La mayoría de los sistemas operativos cuenta con un módulo de 
ayuda y el 10S no puede ser la excepción. A menudo, los equipos 
de red ofrecen información detallada con respecto a los comandos 
empleados por la interfaz, lo que supone una mayor flexibilidad para 
el usuario desde el punto de vista técnico, pues este contexto le servirá 
de guía para dar solución a posibles dudas de sintaxis en el futuro. 

Para arrojar la ayuda desde el 10S, es conveniente utilizar el signo 
de interrogación (?) y posteriormente pulsar la tecla ENTER. La ayuda 
sensible al contexto proporciona una lista de comandos y los argumentos 
asociados con cada orden dentro del contexto del modo actual. 


Router>? 

Exec command: 
<1-99> Sessíon number to resume 
connect Open a terminal connection 
disable Turn off privileged cormands 
disconnect Disconnect an existing network connection 
enable Turn on privileged conmands 
exit Exit from the EXEC 
logout Exit from the EXEC 
Ping Send echo messages 
resume Resume an active network connection 
show Show running system information 
ssh Open a secure shell client connection 
telnet Open a telnet connection 
terminal Set terminal line parameters 
traceroute Trace route to destination 


Router> 


Figura 17. Al colocar el signo de interrogación 
sobre la terminal se despliega una lista de comando de ayuda. 
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Ahora bien, si lo que se desea es desplegar la ayuda de un comando 
en específico, bastará con invocar la orden correspondiente seguida del 
signo de interrogación. De este modo veremos que se despliega toda la 
información respecto al comando solicitado. 


Router>ahow ? 


ap 
cap 

class-map 

clock Display the system clock 

controllers Interface controllers status 

erypto Encryption module 

Zlash: display information about flash: file system 


Frame-Reley information 
history Display the session command history 
hosts IP domain-name, lookup style, nameservers, and host table 
interfaces Interface status and configuration 

ip IP information 

policy-map Show QoS Policy Map 

privilege Show current privilege level 

protocols Active network routing protocols 

Show queue contenta 

Show queueíng configuration 

Information about Telnet connections 

Status of SSH server connections 

Status of TCP connections 

Display terminal configuration parameters 

Display information about terminal lines 

System hardware and software status 


Figura 18. Para obtener información referente a un comando, 
se emplea el signo de interrogación seguido del comando a buscar. 


Debemos tener en cuenta que, en otros aspectos, el sistema 
operativo de interconexión contiene un buffer que permite almacenar 
en memoria RAM los comandos recientemente utilizados. Su límite 
es de 256 líneas. Aunque por lo general el sistema se encuentra 
configurado para la lectura de solo 10 órdenes. 

De esta forma, para visualizar el historial o buffer de comandos, 
se utiliza el comando denominado show history. 


4h UN POCO SOBRE CISCO SYSTEMS 


La empresa CISCO, como mejor se le conoce, se ha dedicado en gran parte al desarrollo de equipos para 
redes y a la creación de soluciones integrales de networking para la empresa corporativa. No obstante, 
se ha mantenido arriba de muchas compañías, no solo por la innovación de sus productos, sino también 
por el progresivo impulso de sus programas de entrenamiento y certificación. 
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Press RETURN to get started. 


Switch>terminal history size 20 
Switch> 


e 


Figura 19. En la imagen se aprecia la forma de modificar el tamaño 
estándar del buffer que almacena el historial de comandos. 


Una orden 1OS que no puede pasar inadvertida y que es necesario 
conocer es el comando clock set. Como su sintaxis lo indica, sirve para 
asignar hora y fecha a un dispositivo de red CISCO. 


Press RETURN to get started. 


Switch>en 

Switchfclock set 12:00:00 22 October 2014 
Switchfshow clock 

+*12:0:0.0 UIC mié oct 22 2014 


Switchgl 


Figura 20. Una forma de visualizar la fecha y hora desde la CLI del lOS 
es mediante el comando clock set 12:00:00 22 October 2014. 
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La configuración vaciada en la CLI del 10S a 
menudo suele ser muy repetitiva, razón por la LOS COMANDOS Y LAS 
cual se ha implementado un método de palabras PALABRAS CLAVE 
clave abreviadas. Tanto los comandos como las 
palabras clave pueden abreviarse a la cantidad SE ABREVIAN A LA 


mínima de caracteres que identifica a una selección CANTIDAD MÍNIMA DE 


única, por ejemplo: el comando configure terminal 


tiene a bien abreviarse como conf t. CARACTERES 


Derivado de lo anterior, el funcionamiento 
del método de las palabras clave abreviadas 
está basado en el principio de evaluar todas aquellas palabras que 
inicialicen con la abreviatura asignada. Otro ejemplo: enable, se 
puede abreviar como en, pues se trata de una frase única que se halla 
predominante en el historial de comandos del 1OS. 

Si en algún momento no deseamos teclear una secuencia completa 
de comandos, podemos recurrir al uso de la tecla tabuladora de nuestra 
PC, la cual nos permite complementar un comando escrito en consola. 


Figura 21. Las abreviaturas simplifican el comando 
y reducen tiempos en la configuración del dispositivo. 


En el ámbito de los sistemas operativos, cada vez es más común 


encontrarnos con atajos de teclado (en algunos casos utilizados en el 
ámbito de edición de líneas de la CLI), los cuales cumplen con el fin de 
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simplificar una expresión. Una vez más, el 1OS no es la excepción, y es 
que a través de estos es posible optimizar tiempos en la configuración. 
Algunos ejemplos de ello son: CTRL+P y CTRL+N (para el despliegue 

del historial de comandos antes explicado), CTRL+Z (o su homólogo 
CTRL+C), entre otros. Este último comando permite terminar con una 
sesión de configuración actual (por ejemplo: pasar únicamente del 
modo de configuración global a un modo EXEC). 


Router>enable 

Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config)+ 

Router (config) + 

Router (config) $ 

Router (config)$-Z 

Routert 

4SYS-5-CONFIG_I: Configured from console by console 


Figura 22. El atajo de teclado más común desde el modo de 
configuración global de un router es: CRTL+Z. Equivalente al comando end. 


Otra de las combinaciones de teclas que pueden hacer falta en este 
repertorio es CTRL+SHIF+6. Este atajo a menudo es conocido como 
carácter de escape y prácticamente es utilizado con la finalidad de 
suspender algún proceso en ejecución. 


0144 


¡Ny PROGRAMAS CCNA 


La certificación CCNA (CISCO Certified Network Associate) provee las bases en el proceso de apren- 
dizaje en el área de redes para la PyME. Los certificados CCNA son capaces de instalar, configurar y 
operar redes LAN y WAN, Para descargar material relacionado con los programas de CISCO, consulte el 
siguiente link: www.cisco.com/web/ES/edu/cursos/index.html. 
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Simuladores gráficos de red 


Se han desarrollado una gran variedad de entornos de software 
que permiten realizar experimentos con redes informáticas sin 
necesidad de disponer de dispositivos de comunicaciones ni de 
computadoras reales. Algunos ejemplos son: NetGUI (originalmente 
creado para GNU-Linux), GNS3 y el famoso Packet Tracer de CISCO. 
A continuación, nos referiremos a los alcances que nos ofrecen tanto 
GNS3 como Packet Tracer en el ámbito de la interconexión de redes. 


Packet Tracer 


Packet Tracer es una herramienta de aprendizaje y simulación 
de redes informáticas que le permite a los usuarios crear topologías 
de red, configurar dispositivos, insertar paquetes y simular una red 
con múltiples representaciones visuales. Actualmente, la herramienta 
Packet Tracer se encuentra disponible para Windows y GNU-Linux. 

Este producto, además, se encuentra vinculado con las academias 
Networking e íntegramente relacionado con el contexto establecido en 
las currículas CCNA desarrolladas por la misma empresa, 


Cisco Packot Tracor 


Figura 23. Desde la página de CISCO, podemos tener 
acceso a la información de descarga de Packet Tracer. 
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La interfaz gráfica de esta herramienta nos facilita de igual 
modo la interacción con el sistema operativo de los dispositivos 
de red (lo que implica ingresar a las consolas de configuración), 
diseñar topologías como si se trataran de redes reales y operar con 
atractivos escenarios de conexión. Packet Tracer cuenta además 
con la bondad de brindarnos las herramientas necesarias para 
realizar algunas demostraciones de encaminamiento de paquetes 
y pruebas de conectividad. 

Con el fin de conocer la interfaz gráfica de esta herramienta, 
analicemos la siguiente Guía visual: 


GV: INTERFAZ DE LA HERRAMIENTA PACKET TRACER 


0 1 Barra de menú: en esta sección se encuentran las opciones típicas para la gestión y 
configuración del software. 


0 2 Barra de herramientas principal: aquí se muestran las herramientas típicas de operación 
con la interfaz del software. 


» 
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03 
04 
05 


06 
07 
08 


09 


Área de trabajo: se trata del espacio destinado a la colocación de los dispositivos que 
conforman una red. 


Barra de herramientas lateral: proporciona un conjunto de herramientas propias de la 
interfaz de Packet Tracer, por ejemplo: selección, inspección, eliminación y redimensión 
de objetos (dispositivos que conforman la red), entre otros elementos como: generación de 
unidades de datos de protocolo (PDU). 


Modos de operación: esta sección nos permite pasar del modo de tiempo real al modo 
simulación y viceversa. Desde aquí es posible vislumbrar en detalle el recorrido de las PDU 
que intervienen en los puntos de comunicación de la red. 


Área de estado del escenario: se encarga de mostrar todas las PDU que han intervenido en 
el análisis realizado durante la operación con la red. 


Selector de escenarios: sirve para realizar diversos análisis en la comunicación de la red. 


Área de dispositivos: es el espacio en el que residen todos los dispositivos clasificados por 
serie y modelo (además de los medios de transmisión y recursos adicionales). Estos deben ser 
arrastrados hacia el área de trabajo para lograr su conexión. 


Selector de presentaciones: permite pasar de un esquema lógico a un esquema físico de 
conexión de dispositivos. Por lo general se trabaja en esquema lógico. 


En capítulos posteriores, recurriremos a la ayuda de Packet Tracer 
para lograr el montaje de nuestras topologías de red. De la misma 
forma, a lo largo de este libro, se explicarán algunas configuraciones 
y Operaciones con el software antes mencionado. 


INTERFAZ GRÁFICA EN ROUTERS CISCO 


En el mercado informático, existen dispositivos de red que incluyen una interfaz gráfica de usuario (GUN). 


Aunque por lo regular se trata de dispositivos modem-routers. La marca Linksys de CISCO es hoy en 


día una de las más comercializadas. Su configuración es muy sencilla gracias a su interfaz gráfica, en 


comparación con los dispositivos conocidos como administrables. 
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Figura 24. Packet Tracer es una herramienta que nos permite 
realizar simulaciones en el ámbito de las telecomunicaciones. 


El simulador GNS3 


GNS3 es un emulador gráfico de redes (software de código 
abierto) que nos permite el fácil diseño y la puesta en marcha de 
topologías de red. Habitualmente esta herramienta (también de apoyo 
a la enseñanza-aprendizaje) soporta el 1OS de una gran variedad de 
series y modelos de dispositivos CISCO. 

GNS3 está originalmente basado en Dynamips y Dynagen 
(emulador de los routers CISCO para plataformas 1700, 2600, 3600, 
3700 y 7200, además de ejecutar imágenes de IOS estándar) y tiene 
la peculiaridad de brindar al usuario la posibilidad de familiarizarse 
con dispositivos CISCO, siendo este el líder mundial en tecnologías 
de redes. GNS3 es una poderosa alternativa a los laboratorios reales 


; ver 
PETENCIA MÁS FUERTE 


La competencia más fuerte que pudiera tener CISCO ya tiene rostro. Se trata de HUAWEI, empresa priva- 
da de alta tecnología que se especializa en investigación y desarrollo de equipamiento de comunicaciones 
y provee servicio de redes personalizadas para operadores de la industria de las telecomunicaciones. 
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para ingenieros en redes, administradores y estudiantes de las 
certificaciones CISCO CCNA RéS,, CCNP y CCIE, así como Juniper 
y la creación de redes en el ámbito del código abierto. 


Arcas CIC ILMO Si ti 


What is GNS3 7 


CH bs am open sour solluao that mulato complex mmtmorks milo boga: lor: porzáblo 
Fromm Uno may res] tworka perform, sl ol Us mtbos! having dedicated netmork hardmaro sud 
26 router 204 suites. 


Our software provides an intutice grapóical user Interiace to design and configure virtual 
raditnal 


in order to provida complete and accurate simudationa, GN52 actually uses tha foloing amulatora 
to sum the very amo opuraing ryan seal motor: 


+ Oynamips, tha wel known Cisco 1OS emutator Follow st 
+ Vid, runa desktop and server operating yate med as Juniper Jun. 
+ Dare, a ganeric upon source machine omulatr, runs Chaco ASA. PEX and 1PS, cons 
Who can use It? e 
GNS ls an excellent altemative or complementary tool 1o 1esl laba for netmork engines, 
A A A e is y: ae MAA 


Figura 25. A través de la página www.gns3.net 
es posible descargar el software GNS3. 
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e RESUMEN 


Las redes de computadoras representan, sin duda, uno de los más grandes aportes al sector tecnológico, 
sobre todo porque su evolución ha sido constante e innovadora. En este capítulo, tuvimos la oportunidad 
de hacer un recorrido por la función, las caracteristicas técnicas, el modo de empleo y la configu- 
ración inicial (a través de sus S.0.) de dos de los dispositivos de red CISCO más importantes: el router 


y el switch. En el capítulo siguiente nos enfocaremos en la configuración intermedia de estos equipos. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


Mencione la diferencia que existe entre un router y un switch. 
Mencione al menos dos series y modelos de routers CISCO. 
¿Cuáles son los dos tipos de switches existentes en el mercado? 
¿Qué función tiene la memoria flash en un dispositivo de red CISCO? 
¿Qué función cumple un cable de consola? 

¿Para qué me sirve una hyperterminal? 

Mencione y explique los dos modos de acceso a un router CISCO, 


¿A qué se denomina 1OS? 


0 0 O 9d a Un 


¿Qué comando del lOS nos permite asignar la hora y fecha al sistema 10S? 


Mencione tres herramientas de simulación de redes. 


. 
o 


EJERCICIOS PRÁCTICOS 


Realice un esquema de los componentes externos de un switch CISCO. 


Tome nota de los datos técnicos de un router con show version. 


Acceda al diálogo de configuración del sistema desde la 1OS. 


hon 


Intente entrar al modo de configuración global en un switch CISCO y ejecute la 
combinación de teclas CTRL+Z. Registre su resultado. 


5 Desde Packet Tracer, trate de arrastrar por lo menos un router y un switch (de 
cualquier serie y modelo) hacia el área de trabajo principal. Oprima clic sobre 
cada uno de los objetos. Registre sus observaciones. 


n vuv 
PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorUVredusers.com 
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de 


routers 


OSI 


En este capítulo desarrollaremos la configuración intermedia 


del router a través de comandos desde el 1OS. Para ello, 
comenzaremos asignando niveles de control de acceso 
mediante passwords, veremos la forma de respaldar 


información en la NVRAM del equipo y conoceremos las 


técnicas empleadas por los expertos para la recuperación del 


sistema ante la pérdida de contraseñas. 
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Comandos de 
configuración intermedia 


Como se ha venido mencionando en el capítulo anterior, existe 
una gran variedad de comandos que tienen a bien emplearse en la 
conocida interfaz del 1OS de los equipos CISCO. Hasta ahora, hemos 
conocido comandos como: enable, disable (modos de acceso EXEC), 
configure terminal (acceso al modo de configuración global), show, clock 
set, etcétera. En esta ocasión tendremos la oportunidad de operar con 
otro conjunto de comandos, esta vez enfocados en la configuración de 
protección (control de acceso), autenticación de usuarios, respaldo de 
información (recuperación) y manejo de interfaces de conexión. 


Figura 1. Recordemos que en la memoria flash de un router 
se almacena el IOS y el conjunto de comandos de configuración. 


Hoy en día, es cada vez más común encontrarnos con sistemas 
que suelen solicitar una clave de acceso a una sesión de trabajo. 
Definitivamente, los routers no son la excepción, y es que con ello 
se garantiza la integridad de los datos contenidos y la configuración 
previamente realizada (toda ella almacenada en el 10S residente en la 
memoria flash del router). 
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Control de acceso al equipo CISCO 

La administración de equipos de red se realiza mediante lo que 
conocemos como líneas del dispositivo. Por lo general, contamos 
con la línea CTY (Consola), VTY (Telnet) y AUX (Auxiliar). Estas líneas 
serán descritas y configuradas más adelante. 

Consideremos que antes de iniciar con 
la configuración de control de acceso a los 


routers CISCO, vamos a conocer la forma en LA ADMINISTRACIÓN 
la que debe asignarse tanto un nombre como DE EQUIPOS SE 
una contraseña válidos para su protección 
(configuración empleada para switchs y routers). REALIZA MEDIANTE 
La asignación de un nombre al equipo se hace LÍNEAS DE 
con el propósito de identificar tanto el número 
de equipos conectados a una topología de red, DISPOSITIVOS 
como el área a la que pertenecen (país o sucursal). 
Un identificador válido es, por ejemplo: 
JAPONO1, USERS, SUCURSALO1, MÉXICO, Contoso, Argentina3, etcétera. 


La técnica anterior es a menudo empleada por muchas empresas 
para identificar los dispositivos de su red corporativa. 

Antes de comenzar a asignar nombre a los equipos, debemos 
considerar siempre lo siguiente: 


e ElIlOS es capaz de aceptar comandos escritos con mayúsculas 
o minúsculas (sistema Key sensitive). 

e El identificador debe ser corto (por lo tanto capaz de hacer 
referencia al nombre de una sucursal o país), pues el sistema 
no acepta más de 39 caracteres. 

e Para la asignación o cambio de nombre al equipo, debemos 
situarnos en el modo de configuración global. 


(DN MODOS DE TRANSMISIÓN 


Los datos que se transmiten en una red pueden circular en tres modos: modo Simplex, modo Half 
duplex y modo Full duplex. Este último es regularmente el más empleado en la actualidad, pues ofrece 
la transmisión bidireccional de información de manera simultánea. Los routers CISCO permiten la elección 
entre Half duplex y Full duplex. 


www.redusers.com <« 


5 PERES 2. CONFIGURACIÓN DE ROUTERS 


1841 
USERSO1 


Switch - PT - Empty 
Coordinación Edición 


A m" 

= Je 
PC-PT PC-PT Laptop - PT 
Coordinación01 Coordinación02 Edicion01 


Router - PT - Empty 
USERSO2 


Laptop - PT 
Edición02 


Figura 2. La previa identificación de un router 
permite su mejor ubicación en la topología de red. 


Es importante tener en cuenta que la forma de asignar un nombre de 
identificación al dispositivo de red CISCO no es cosa del otro mundo, 
por lo tanto no nos tomará tiempo ni esfuerzos excesivos. 

En forma general, lograremos completar esta tarea mediante el 
uso del comando hostname, para ello también será necesario contar 
con el nombre que deseamos asignar al dispositivo; luego de esto, la 
identificación estará completa. 
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Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) fhostname USERSO1 

USERSO1 (config) $ 
USERSO1 (config)$ 
USERSO1 (config) + 


Figura 3. La forma correcta para asignar 
un nombre válido se hace mediante el comando hostname. 


Seguridad básica en el router 

En la actualidad, cada vez es más común encontrarnos con sistemas 
vulnerables a ataques informáticos. Y desde luego que las redes no 
son la excepción. Por ello es importante contar con ciertas medidas 
de seguridad, las cuales cumplan con el objetivo de garantizar la 
integridad de todos nuestros datos (en este libro, nos enfocaremos 
solamente en el control de acceso). 

Los routers, a menudo, pueden ser susceptibles al robo de 
identidad, por tal razón, actualmente se hace uso extensivo de la 
configuración de contraseñas seguras. Para que una clave de acceso 
sea segura debemos considerar algunos aspectos fundamentales como 


Ho) EL ORIGEN DE CISCO 


Cisco fue fundada en 1984 por un matrimonio estadounidense. El nombre de la compañía proviene del 
nombre San Francisco. La historia cuenta que, al mirar por la ventana de su apartamento, se podía 
divisar, al frente, un cartel que decía “SAN FRANCISCO”; un árbol se interponía en medio de la palabra, 
separándola en: san - fran - cisco. 
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la longitud y su composición: letras mayúsculas y minúsculas, 
caracteres especiales (símbolos) y números. Muchos expertos en 
seguridad informática recomiendan colocar, cuando menos, un total 
de 8 caracteres. De este modo conseguiremos contraseñas más 
sólidas (esto implica mayor seguridad para los sistemas que deseamos 
proteger). En la siguiente Tabla vamos a mostrar el tiempo estimado 
para descifrar contraseñas en función de su longitud y composición. 


TABLA 1: CONTRASEÑAS MÁS SEGURAS Es 


y LONGITUD y MINUSCULA y AGREGA MAYÚSCULAS y NÚMEROS Y SÍMBOLOS 


Tabla 1. Contraseñas seguras en función de su complejidad. 


Notemos que al utilizar símbolos y números, nuestras claves son 
más seguras, lo que implica mayor protección para el sistema que 
deseamos configurar. Sobre todo si el objetivo se centra en asegurar las 
interfaces de acceso de un dispositivo. 

Recordemos que para la configuración de un router, podemos hacer 
uso de múltiples líneas de comando: Consola, Telnet y Auxiliar 
(que tienen a bien considerarse como interfaces administrativas de 
acceso a la configuración del equipo), por lo que se hace necesario el 
empleo de una clave para acceder a la configuración realizada. 


1444 


Telnet sirve para acceder en forma remota a otra máquina, en modo terminal. Se trata de una herramienta 
útil para arreglar fallos a distancia, sin necesidad de estar fisicamente frente al equipo. También puede ser 
utilizado para consultar datos a distancia en máquinas accesibles por red. 
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Figura 4. El uso de cualquier interfaz 
administrativa hace posible la configuración de un router. 


Características de las contraseñas CISCO 

Como se ha manifestado en secciones anteriores, todos los puntos 
de acceso de un router deben protegerse con contraseña, por lo que 
a menudo se recomienda seguir algunos consejos (adicionales a los ya 
mencionados) en función con sus características 


e Colocar claves que oscilen entre 8 y 25 caracteres. 

e Las contraseñas no deben iniciar con ningún espacio en blanco. 
Pueden llevar combinación de letras y caracteres especiales. 

e La clave debe tener un período de expiración (recomendable 
cambiar periódicamente dichas contraseñas, de este modo se limita 
su uso por cierto tiempo). 


Las contraseñas asignadas sirven para delegar 


accesos mediante niveles. Todo esto significa LAS CONTRASEÑAS 
que no podemos tener acceso al dispositivo sin ASIGNADAS SIRVEN 
antes escribir la contraseña de acceso correcta, 

lo que implica no poder entrar a la consola de PARA DELEGAR 
configuración (CLI del 10S) y, por consiguiente, ACCESOS MEDIANTE 
a ninguna sesión de usuario (privilegiado y no 

privilegiado) de Telnet y Auxiliar. NIVELES 


Con respecto a lo que hemos citado 


anteriormente, resaltemos que con fines 
prácticos, comenzaremos a realizar la configuración del denominado 


modo de acceso EXEC. 
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Configuración de password para el acceso a la interfaz de Consola 


Configuración de password para 
el acceso a la interfaz Auxiliar 


Figura 5. Esquema de asignación 
de claves de seguridad a un router por niveles. 


En cuanto a la asignación de contraseñas, es aconsejable tener 
especial cuidado con el manejo de accesos, pues si por descuido 
perdemos algún password, no será posible ingresar a la configuración 
y, por consiguiente, no podremos consultar ni modificar ningún dato 
residente en el IOS del sistema. Aunque se sabe que siempre hay 
una alternativa de solución para todo, y este caso no puede ser la 
excepción. Más adelante, en el tema recuperación de accesos, vamos 
a conocer el procedimiento a seguir para recuperar accesos, ante una 
posible pérdida de contraseñas. 


Configuración de password 
para el modo de acceso EXEC 


Una vez asignado el nombre, procedamos a colocar una clave de 
acceso para la protección del modo de acceso EXEC privilegiado. 

Recordemos que el sistema operativo de interconexión 
cuenta con algunos modos de acceso EXEC relevantes (abordados 
en el Capítulo 1 de este libro), los cuales deben ser inicialmente 
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configurados con el propósito de proteger el EXISTEN DOS 
equipo de accesos no autorizados. 
ee : FORMAS DE 
Por lo general, existen dos formas de poder 
configurar un password para la protección del CONFIGURAR UN 
modo de acceso EXEC privilegiado: 
PR PASSWORD PARA 
+ Mediante la orden enable password: este PROTEGER EL 
comando, por sí mismo, no ofrece ningún 
dos de MODO EXEC 
servicio de cifrado, a menos que sea invocado 
adicionalmente. Esto se consigue con el 
comando service password-encryption. 


*e Mediante la orden enable secret: proporciona un servicio de cifrado 
mucho más seguro que enable password (clave que se guarda en el 
archivo de configuración en texto plano). Para ilustrar lo anterior, 
analicemos el siguiente Paso a paso. 


PAP: PROTECCIÓN AL MODO EXEC PRIVILEGIADO 


0 1 Ingrese a la consola del router al que ha asignado previamente un nombre de 
identificación. Note que al tratar de ingresar como usuario privilegiado, la 
interfaz no solicita ninguna clave de acceso. Como resultado, obtendrá 
la petición de un password. 


Press RETUAN to get started. 


www.redusers.com <« 


58 ME 2. CONFIGURACIÓN DE ROUTERS 


»> 


0 Ingrese ahora al modo de configuración global. Desde allí coloque el comando 
enable secret y en seguida la contraseña correspondiente, por ejemplo: 
Pa$$w0rd. Finalmente presione la tecla ENTER. 


Press RETURN to ger started. 


USERSOL>enable 
USERSO1Sconfígure terminal 

Enter configuration commands, one per líne. End with CNIL/Z 
USERSO1 (config) fenable secret Password 

USERSO1 (config) $ 


0 Para configurar el modo de acceso EXEC privilegiado con enable password, 
se debe seguir el procedimiento implementado para enable secret. Para cifrar 
la contraseña haga uso de service password-encryption. 


End with CNTIVZ 


uszaso: (config) tenab! 
ussaso: (config) $ 


auord Pastuordos 
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» 
0 Ahora, necesita comprobar que todo ha salido bien. Para ello debe regresar hasta 
el modo EXEC usuario, donde se va a solicitar el comando enabTe para ingresar 
como usuario privilegiado. 


USERSO1>enable 
USERSO1Econfigure terminal 


Enter configuration commands, one per line. 
USERSOL (config) fenable secrer Pastw0rd 

USERSO1 (config) fenable password Pastw0rdol 

USERSOL (config)$-2 

USEASOLE 

SYS-S-CONFIG_I: Confiígured fzom console by console 


USERSOLtexir 


0 Note que al tratar de ingresar al modo EXEC privilegiado, se ha solicitado una 
contraseña. Colóquela y después presione la tecla ENTER. A partir de este 
momento, ha quedado protegido el acceso para el usuario privilegiado. 


Press RETUAN to ger started. 
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Para la validación de los comandos anteriores, es necesario estar 
situado en el modo de configuración global, pues de lo contrario la 
terminal del 1OS nos notificará sobre un posible error. 

Con el fin de verificar cualquier configuración realizada, se 
recomienda el uso del comando show running-config (ver fichero que 
almacena los registros de la RAM). 


USERSOlfshow running-config 
Building configuration... 


Current configuration : 479 bytes 

! 

version 12.2 

no service timestamps log datetime msec 

no service timestamps debug datetime msec 

no service password-encryption 

! 

hostname USERSO1 

! 

1 

! 

enable secret 5 $15mERr$IHEQ4uh4dBEBEF -Ne/opl 
enable password Pas$w0rd0l 

1 


Figura 6. El comando show running-config 
nos permite visualizar un conjunto de configuraciones previas. 


Configuración de password 
para la interfaz de consola 

Después de haber asignado un nombre válido al equipo, y haber 
colocado una clave de acceso al usuario EXEC privilegiado, 
procedemos a colocar otra para restringir el acceso total al router (CLI). 


vuuvY 
(D ENTRENAMIENTO EN SEG 


CCNP (CISCO Certified Network Professional) es un certificado válido para planear, solucionar y verificar 


problemas de redes empresariales. La certificación CCNP está enfocada en aquellos usuarios dispuestos 
a mejorar sus habilidades y conocimientos en cuanto a soluciones de redes complejas. 
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El fin es impedir cualquier manera de acceder a 

la consola de configuración (recordemos aquí los LA INTERFAZ 

niveles existentes señalados en el tema anterior). DE LÍNEA DE 
No olvidemos nunca que nuestra interfaz de 

consola se trata, precisamente, del entorno de COMANDOS ES 

comandos ofrecido por el IOS de los dispositivos MÁS CONOCIDA 

CISCO, es decir: la interfaz de línea de 

comandos que muchos conocemos como CLI. COMO CL! 


El comando empleado para acceder a la 
interfaz de consola para su configuración es: 
line console O. Este comando debe comenzar a utilizarse dentro de la 
configuración global. Y generalmente va acompañado de un par de 
comandos adicionales: password y login. 


Router>enable 

Routerfconfigure terminal 

Enter configuration commands, one per líne. End with CNIL/Z. 
Router (config) $line console 0 

Router (config-líne) tpassword Pas$wOrd 

Router (confíg-line) tlogin 

Router (config-line) $ 


Figura 7. La configuración de la interfaz 
de consola permite la protección de la CLI del IOS. 


Debemos considerar que en el sentido estricto de la palabra, login 
significa conectar. De esta manera se emplea como un comando de 
sistema que sirve para efectuar la validación de la contraseña de acceso 
a la consola. Por lo regular, encontramos que dicha orden no tendrá 
efecto si no se ha configurado un password previo (tengamos en 
cuenta que en caso de colocar primeramente el comando login en vez 
de la clave, el sistema solicitará el password). 
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Press RETURN to get started. 


User Access Verification 


Password: 


Figura 8. Para conseguir ingresar a la consola 
del lOS, debemos colocar una contraseña. 


La sintaxis para la asignación de claves es muy simple y se expresa 
de la siguiente manera: Htpassword [contraseña]. Donde contraseña debe 
ser una cadena no menor de 8 caracteres con una nomenclatura 
especial (como anteriormente se ha explicado). 

Después de realizar la configuración del password para consola, 
notaremos que transcurrido cierto tiempo ha quedado inactiva la 
configuración actual, y por consiguiente, el sistema se encarga de 
regresarnos al inicio de la CLI. Esto se debe a que el tiempo de espera 
asignado al sistema se ha agotado (generalmente es de 10 minutos). 
Por lo que nos veremos en la necesidad de asignar un tiempo mayor, 
que nos servirá para evitar demoras durante la configuración. Lo 
anterior es posible si hacemos uso del comando exec-timeout. 


TUTORIALES Y RECURSOS 


Los usuarios exigentes que requieren de información y recursos acerca de configuración de un equipo, 
apertura de puertos y demás, pueden recurrir a las siguientes páginas de internet: www.adsizone.net 
y www.adslayuda.com. Desde aquí será posible incluso encontrar información sobre los routers más 
populares que se encuentran en el mercado. 
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Router>enable 
Routertconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config)$line console 0 

Router (config-line) password Pas$w0rd 

Router (config-line) $login 

Router (config-line) fexec-timecur 30 

Router (config-line)$ 


Figura 9. Para retardar el tiempo de inactividad 
de la consola se usa el comando exec-timeout. 


Una vez hecho lo anterior, obtendremos como resultado una consola 
de comandos más segura (en cuanto a los posibles accesos), aunque 
debemos tener en cuenta que esta seguridad no nos protege ante las 
vulnerabilidades y los ataques que pudieran producirse al sistema. 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) $line console 0 

Router (config-line) fpassword Pas$w0rd 

Router (config-line) flogin 

Router (config-line) fexec-timeout 0 

Router (config-line) $ 


Figura 10, La orden exec-timeout 0 
deja la consola sin tiempo de desactivación. 
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CON EL PARÁMETRO 
0 NOTAREMOS QUE 
LA CONSOLA 

JAMÁS QUEDARÁ 
INACTIVA 


a e este último indicador, la consola jamás quedar: 


2. CONFIGURACIÓN DE ROUTERS 


Recordemos que para ejecutar lo 
anterior, debemos ubicarnos en el modo de 
configuración global y haber configurado la 
línea de consola. Notemos también que el valor 
numérico situado después del comando exec- 
timeout determina el tiempo de retardo expresado 
en minutos. Ahora, si lo que deseamos es no 
lidiar con el tiempo de inactividad de la consola, 
podemos agregar el parámetro O al comando; por 
ejemplo: exec-timeout 0. Consideremo s que con 
inactiva. Con respecto 


a lo anterior no se aconseja colocar la expresión no exec-timeout (salvo 
en ocasiones especiales), pues con ello conseguiríamos que este 
proceso o servicio (propio del sistema) quedara deshabilitado. 

En el siguiente Paso a paso se describe el procedimiento para 
asegurar la consola con contraseña. 


PAP: PROTECCIÓN DE ACCES! CONSO 


0 Ingrese a la consola del router. Posteriormente, trate de acceder al modo de 
configuración global. Y desde alli coloque la orden Tine console 0. Observe 
que cuando realiza esta tarea, la apariencia del prompt cambia. 


Router>enable 
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0 Ahora, asigne una contraseña para proteger el acceso y a continuación presione la 
tecla ENTER. Recuerde asignar passwords distintos a los antes colocados ya que 


esto, a menudo, garantiza un mayor nivel de seguridad al equipo. 


Router>enable 
Routertconfígure terminal 
configuration commands, one per líne. End with CNIL/Z. 
config) $líne console 0 
¡config-line) tpasaword Pasgu0rd 


0 Proceda a colocar la orden 10gin, que hará posible que se efectúe la configuración 
previa. Posteriormente deberá presionar la tecla ENTER, luego puede finalizar 
escribiendo el comando exit. 


Router>enable 
Routerfconfigure terminal 

Entez configuration commands, one per line. End with CNIL/Z. 
Router (config) $line console 0 

Router (config-1ine) fpassword Pastw0zd 

Router (config-1ine) $login 

¡Router (config-1:me14| 
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Con el fin de verificar que la configuración anterior surta efecto, 
recomendamos salir de la terminal y tratar de ingresar posteriormente. 
Al intentar ingresar al 1OS, éste nos solicita una clave de acceso. 


Configuración de password 
para la interfaz de Telnet 


Para efectuar la configuración de contraseñas para la línea Telnet o 
SSH (Secure Shell), hay que seguir básicamente el mismo principio que 
el utilizado en la configuración anterior. Aunque hay que tener presente 
que los comandos iniciales van a cambiar según la interfaz configurada. 

Antes de comenzar con la explicación de tal procedimiento, 
definamos algunos términos importantes. 


Figura 11. Telnet es una herramienta 
que sirve para emular una terminal remota. 


En el ámbito de las redes, existen dos herramientas para la 
configuración vía remota de dispositivos CISCO: Telnet y SSH. 

Telnet (Telecomunications Networks) es una herramienta visual 
que está implementada por el protocolo Telnet, el cual sirve para 
emular una terminal remota. Es decir, que se puede utilizar para ejecutar 
comandos introducidos por un usuario desde un equipo remoto, con el 
fin de poder acceder a la información pública entre sí 


www.redusers.com 


ROUTERS Y SWITCHES CISCO ES 67 


SSH es definido como un intérprete de órdenes seguras. Consiste en 
otra herramienta implementada por el protocolo SSH, que cumple con 
el mismo objetivo que Telnet. La diferencia radica en que esta última es 
mucho más estable y segura. Cualquiera de las herramientas anteriores 
se puede descargar de internet. 

Para configurar una contraseña para Telnet se debe acceder a la 
interfaz de Telnet con line vty 0 4. En el siguiente Paso a paso daremos 
a conocer el procedimiento para proteger el acceso a Telnet. 


PAP: PROTECCIÓN DE ACCESO A TELNET 


0 Ingrese a la consola del router. Posteriormente, trate de acceder al modo de 
configuración global. Y desde allí coloque la orden Tine vty 0 4. 


Router>enable 
Routergconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config) fline vty 0 4 

Router (config-line) el 


(Ny SOFTWARE CON LICENCIA LIBRE 


PUTTY es un cliente SSH, Telnet distribuido bajo la licencia MIT. Y aunque originalmente fue diseñado 
para plataformas Microsoft Windows, también está disponible en varias versiones Unix. Algunos usua- 
rios de la comunidad de software libre han contribuido con el diseño de versiones para otras platafor- 
mas, tales como Symbian para teléfonos móviles. 
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0 En este paso, es necesario que proceda con la asignación de una contraseña para 
proteger el acceso. Una vez que haya efectuado esta tarea solo será necesario que 
presione la tecla ENTER. 


End with CNIL/Z. 


0 Ahora proceda a colocar la orden 1ogin, que hará posible que se efectúe la 
configuración previa. Posteriormente presione la tecla ENTER. Para finalizar solo 
deberá escribir el comando exit. 


Router>enable 
Routerfconfígure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) $line vty 0 4 

Router (config-line) fpassword Passu0zd 

¡Router (config-line) $login 

Router (config-line) 
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Seguramente muchos nos estaremos preguntando ¿qué significa 
VTY?, o ¿por qué asignar un O 4, en vez de otro valor? En este sentido 
es importante mencionar que las siglas VTY hacen referencia al 
término Virtual Teletipo Terminal (linea de 
terminal virtual). Se trata de una interfaz de 


línea de comandos utilizada para efectuar la VTY ES UNA INTERFAZ 
configuración de routers. Facilita la conexión a DE LÍNEA DE 
través de Telnet vía remota. 

Consideremos que para hacer posible la COMANDOS USADA 
conexión con una VTY, será necesario que PARA CONFIGURAR 
los usuarios realicen la presentación de una 
contraseña válida. ROUTERS 


Para dar respuesta a la segunda pregunta, 
recordemos que line vty hace referencia a la y e 
interfaz o línea que vamos a configurar. El O representa el número de 
interfaz (o línea) y el número 4 es la cantidad máxima de conexiones 


múltiples a partir de O, o sea 5 sesiones VTY. 


Press RETURN to get started. 


Router>show users 


Line User Host (a) Location 
+ 0cono sale 

Interface — User Mode Idle Peer Address 
Router] 


Figura 12. Aquí se muestra en acción el comando show users. 


Derivado de lo anterior, debemos saber que, también existe una 
forma de poder visualizar tanto las conexiones de Telnet efectuadas 
como las conexiones realizadas por los usuarios. Esto se logra con los 
comandos: show sessions y show users, respectivamente. 
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Configuración de password 


para la interfaz Auxiliar 
Actualmente, no todos los dispositivos se encuentran equipados 
con un puerto Auxiliar, identificado como AUX (generalmente 
catalogado como un puerto de respaldo al 
puerto de consola). Originalmente esta línea 
EL PUERTO AUXILIAR ha sido integrada con el objetivo de posibilitar la 


O AUX ES UN PUERTO conexión de un modem telefónico. 
Si por alguna razón, al momento de estar 


DE RESPALDO configurando un equipo CISCO, desconocemos las 

AL PUERTO líneas con las que cuenta, podemos hacer uso del 
siguiente comando: line ?. Para que dicha orden 

DE CONSOLA surta efecto, debemos estar posicionados en el 


modo de configuración global. 


bl 


105 Command Line Interface 


La) 


Figura 13. Para visualizar las líneas que se 
encuentran vigentes en un router se hace uso de la orden Tine ?. 


Para la configuración de la línea AUX, se emplea el siguiente 
comando: line aux 0. Y para asignar una contraseña, se debe escribir el 
comando password, tras la palabra login. 

Recordemos que para encriptar las contraseñas antes asignadas 
a las líneas del dispositivo CISCO, podemos hacer uso del servicio de 
encriptación ya mencionado (service password encryption). 
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AA 


Figura 14. Los modems originalmente eran 
conectados en los puertos AUX de un dispositivo CISCO, 


Creación y autenticación de usuarios 

Para comenzar a abordar este tema, es importante saber que 
prácticamente todo sistema operativo (S.O.) cuenta con un 
componente indispensable para el acceso a los 
usuarios, Como sabemos, a este elemento se le 


conoce como cuenta o sesión de usuario, la cual LOS DISPOSITIVOS 

debe de estar dada de alta con los privilegios CISCO REQUIEREN DE 

adecuados, por un administrador. . 
Los dispositivos CISCO también requieren de UNA AUTENTICACIÓN 

una autenticación de usuarios para acceder a sus PARA EL ACCESO A 

recursos. Tengamos en cuenta que la forma más 

sencilla de crear una sesión de usuario (usuario LOS RECURSOS 

y contraseña) se logra mediante la ejecución 

de una secuencia de comandos tal y como se vi y 

aprecian en el siguiente Paso a paso. 


LNERABILIDADES 


CISCO se ha encargado de realizar la develación de cuatro vulnerabilidades en el software de la familia 


ASA (Adaptive Security Appliance), las cuales se centran en la realización de ataques de denegación de 
servicio. Los errores pueden ser provocados por mensaje IKE, URLS's o certificados que se encuentren 
malformados. El fallo dentro de la implementación se debe al procesamiento de mensajes especiales 


DNS que provocan el reinicio de los equipos. 
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PAP: CREACI 


N Y AUTENTICAC DE USUARIO: 


0 Ingrese a la consola del router. Acceda al modo de configuración global. Coloque la 
secuencia: username [nombre del usuario] password [contraseña]. 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) fusername USERS password PastwOrd 

Router (config) 


0 Proceda a referir la línea del dispositivo a la que desea que se autentifiquen los 
usuarios. Refiera la línea de consola. Presione la tecla ENTER. Después, coloque el 
comando login local, y presione ENTER. 


Enter configuration commands, one per line. End with CNTL/Z. 
Router (config) tusername USERS password Passw0rd 

Router (config) fline console 0 

Router (config-1ine) flogin local 
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0 Para finalizar con el procedimiento, coloque por última vez la contraseña 
anteriormente escrita para la validación de acceso al modo line. Escriba el 
comando exit, hasta salir de la configuración. 


Router>enable 
Routertconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) fusername USERS password Pas$wOrd 


Router (config)flíne console 0 
Router (config-líne) $logín local 

Router [config-line) $passuord PasiwOrd 

Router (config-líne) fexit 

Router (config) fexit 

Routers 

ASYS-S-CONFIG_I: Confígured from console by console 


0 4 Con el fin de verificar que los cambios han surtido efecto, una vez que regresó al inicio 
de la consola, intente acceder nuevamente. Note que desde este momento, el 1OS 
solicita al usuario un username y una clave de acceso. Ingrese los datos solicitados. 


User Access Verification 


Username: USERS 
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Con fines de validación para el presente 


LOGIN LOCAL SE procedimiento, se recomienda regresar al inicio de 
ENCARGA DE PEDIR la consola e intentar acceder de nuevo. 
En la presente configuración, habremos notado 
UN USERNAME la presencia de un nuevo comando expresado 
AL USUARIO QUE como: login local. Consideremos que este comando 
cumple con el propósito de preguntar un 
INTENTA ACCEDER username al usuario que está intentando ingresar 


a la configuración del equipo. 


Configuración de banners 
Un banner también es conocido como mensaje. Su finalidad 
consiste en arrojar una serie de notificaciones o advertencias de 
configuración (sobre todo en cuanto a seguridad se refiere). 
Existen varios tipos de banner. Si queremos saber cuáles son, 
podemos ejecutar la orden hanner ? desde nuestra CLI. 


TABLA 2: TIPOS DE BANNER EN DISPOSITIVOS CISCO 


y TIPO DE BANNER y DESCRIPCIÓN 


Tabla 2. Tipos de banner utilizados en routers CISCO. 


114 
ARRANQUE EN CALIENTE 


Una característica muy interesante en los nuevos routers es el llamado arranque en caliente. Esto 


significa que el lOS se puede cargar en memoria sin necesidad de ejecutar el POST (Power On Self Test) 
que a veces puede tardar demasiado. Debemos saber que el comando de configuración global que activa 
el arranque en caliente es warm-reboot. 
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Press RETURN to get started. 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config) banner motd * Bienvenido + 

Router (config) 


Figura 15. La presente imagen muestra 
la manera de crear un banner desde el lOS. 


Es importante saber que la sintaxis de la orden 
banner se puede expresar de la siguiente manera: EL MENSAJE 


ESTABLECIDO CON 
BANNER MOTD 


USERS(config)*banner motd *Bienvenido* 


Notemos que la estructura de la orden que DEBE ESTAR ENTRE 
acabamos de presentar se compone del tipo 
de banner que deseamos configurar y, en ASTERISCOS 
seguida, vemos el mensaje que vamos a arrojar. 
Es necesario que este mensaje se encuentre y y 
escrito entre asteriscos. 


Ak) BANNER MOTD 


Consideremos que el banner motd ofrece la posibilidad de establecer un mensaje diario, el banner login 
será visto al establecer una sesión de telnet, el banner exec al pasar la password al modo privilegiado. 
En este sentido un mensaje de inicio de sesión debe advertir que solo los usuarios autorizados deben 
intentar el acceso. Es necesario evitar mensajes del estilo “¡bienvenido!”; por el contrario, dejar bien en 
claro que cualquier intrusión sin autorización estará penalizada por la ley vigente. 
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Press RETURN to get started. 


Bienvenido 


Router» 


Figura 16. La orden banner motd permite 
mostrar un mensaje desde la CLI del dispositivo de red. 


Backup en routers y switches CISCO 
No der que tanto los dd de como los switches poseen 
(entre otros elementos): una memoria RAM, una memoria de 
almacenamiento flash y una memoria no volátil conocida como 
NVRAM. Recordemos también que todas las operaciones dentro del 
10S que el usuario ejecuta, por default, se almacenan en una memoria 
temporal (RAM). Pero al igual que en una PC, al 
reiniciarse o apagarse el dispositivo, la memoria 


LOS ROUTERS Y RAM pierde su contenido. 
SWITCHES POSEEN Actualmente, pueden ser muchos los factores 
o riesgos (cortes de corriente, catástrofes o 
RAM, MEMORIA accidentes) que pueden ocasionar que los datos 
FLASH Y MEMORIA almacenados en la RAM se pierdan. En muchas 
y industrias, estos problemas son muy comunes, 
NO VOLÁTIL por lo que siempre es recomendable estar 
prevenidos. Ante esta situación, podemos recurrir 
ko a alguna técnica de resguardo. 
El servicio de soporte es cada vez más común entre los sistemas 


operativos. El IOS de CISCO a menudo ofrece este tipo de servicio en 
particular, por lo que es conveniente recurrir a él cada vez que sea 
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necesario. Por ejemplo, las actualizaciones del software de 
sistema. Algunas de las bondades que nos proporciona CISCO 


n y restauración de su sistema operativo. Esta 
tarea es mucho más común de lo que nos imaginamos, por lo que se 
recomienda llevar a cabo un respaldo o una copia de seguridad del 
10S antes de efectuar alguno de los procesos antes mencionados. 


son la actualiza: 


Figura 17. La memoria RAM del equipo CISCO 
se encarga de almacenar información de forma temporal. 


De la RAM a la NVRAM 

Hasta ahora sabemos que la memoria RAM residente en los 
dispositivos de red es la encargada de alojar (de manera temporal) 
todas las configuraciones realizadas por el usuario o el administrador. 
Estas tareas regularmente consisten en: configuración de modos de 
acceso EXEC, configuración de consola, creación de sesiones de 
usuario, configuración de interfaces, asignación de tablas de ruteo, 
entre otras (anteriormente analizadas). Mientras tanto, la NVRAM es 
una memoria que se encarga de alojar una imagen de todos los cambios 
efectuados al sistema, pero de manera permanente. 

Hoy en día es muy común que nos veamos en la necesidad de 
salvaguardar esas configuraciones, para ello podemos recurrir a una 
técnica conocida como copia de resguardo o backup. 
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La memoria RAM del equipo CISCO se encarga de almacenar 
información de forma temporal. 
Antes de comenzar con nuestro respaldo, debemos saber que los 
registros de la memoria RAM de nuestro equipo se hallan comúnmente 
en el repositorio running-config del S.O. En 
cambio, los de la memoria NVRAM se ubican en 
LOS REGISTROS DE el repositorio startup-config. Por lo que para 
LA MEMORIA RAM hacer un respaldo (ya sea de RAM a NVRAM y 


viceversa), necesitamos efectuar una copia de 
DE LOS EQUIPOS SE repositorios simultáneamente. 


ENCUENTRAN EN En la siguiente imagen se describe el proceso 
para hacer el respaldo de los datos almacenados 
RUNNING-CONFIG en RAM a la memoria no volátil (NVRAM) del 


equipo con el uso del comando copy. 


e 


Router>enable 
Router$copy running-config startup-config 

Destination filename [startup-configl? 

Building configuration... 

[OK] 

Routers] J 


Figura 18. Copia de resguardo de la memoria 
RAM a la memoria NVRAM de un dispositivo de red. 


Eliminación del contenido de la NVRAM 

Toda la información y las configuraciones ingresadas a la NVRAM de 
los dispositivos CISCO pueden únicamente eliminarse por intervención 
del administrador de la red, pues esta permanecerá vigente hasta su 
eliminación. El comando utilizado para tal fin es: erase (borrar). 
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Router>enable 
Routerferase startup-config 


Erasing the nvram filesystem will remove all configuration files! 
Continue? [confirm] 

[OK] 

Erase of nvram: complete 

4SYS-7-NV_BLOCK_INIT: Imitialized the geometry of nvram 


Figura 19. Eliminación del registro 
de la NVRAM, mediante el comando erase. 


Al ejecutar el comando apropiado, veremos que el registro de las 
configuraciones realizadas ha sido borrado. Tomemos en consideración 
que para tal efecto debemos estar situados en el modo EXEC 
privilegiado, pues de no ser así la terminal nos arrojará un error. 


Backup del lOS 


Recordemos que el IOS se almacena en la memoria flash del equipo 
de interconexión, pues desde este punto comenzaremos a operar para 
realizar una copia de seguridad del sistema operativo. 

Dos de las razones por las cuales es importante realizar un 
backup del sistema operativo de interconexión de un router CISCO 


¡Ny COPIAR Y PEGAR 


El sistema operativo de los equipos CISCO, entre otras ventajas, nos permite copiar y pegar la configu- 
ración realizada en texto plano para ser usada en el futuro. Para copiar, basta con presionar clic derecho 
del ratón y seleccionar la opción indicada. Finalmente, podemos pegar la selección en cualquier espacio 
de la misma consola o en algún procesador de textos. 
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son, generalmente, porque el administrador desea actualizarlo a 
una versión más reciente, o simplemente porque desea restaurar el 
sistema ante posibles problemas emitidos durante su operación. 
Para llevar a cabo este tipo de tareas, se cree 
necesario hacer uso de un servidor especial, 


EXISTEN conocido como servidor TFTP (Trivial File 
HERRAMIENTAS DE Transfer Protocol — Protocolo de transferencia 
de archivo trivial). La razón de almacenar una 
SOFTWARE CREADAS copia en este sitio es con la finalidad de que 
PARA TRANSFERIR permanezca activo y disponible para su uso 


MEDIANTE TFTP 


AL 


en el futuro, además de servir como medio de 
transferencia de archivos. 

Hoy día existen herramientas de software (para 
PC) que fungen como medio para la transferencia 
de archivos trivial, entre las que podemos encontrar: Quick TFTP 
Desktop, Tftp (32-64), CISCO Tftp, SolarWinds TFTP Pro, TFTP 
Suite Pro, por mencionar algunas. 


rte Tania Mo 


FAME 
IE TH sue] Progress] 


Rate] Ple Started a] Ended a] Remanin 

Y 127.004 Frished Cb AL TOMO 4179 100% 13:16:43 13:16:53 
Y 127001 Frishad Mb ATOM ALTO 100% 13:17:07 13:17:47 
Y 12ODA Frished rc ATOM ALTO 100% 13:17:00 13:17:49 
Y 1200 Prished projao MOMO 4:08 100% 13:10:17 19:10:10 
Y 127001 Frishad pare AAOMO 40M 100% 13:19:07 13:19:08 
A 127001 Frished Mb ATOM 41798 100% 13:19:35 13:19:45 
o 

Interrupt the transmission. 

Transmission detads 


Figura 20. TFTP Server es un servidor 
empleado para el backup y restauración de routers. 


El servidor TFTP realiza su función sobre la base de un protocolo 
del mismo nombre. Por lo general, este consiste en una versión 
básica muy semejante al FTP (File transfer protocol — Protocolo 
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de transferencia de archivos) tradicional. Una de las principales 
características del TFTP es que hace uso de UDP (en el puerto 69) 
como protocolo de transporte (a diferencia de FTP, que utiliza los 
puertos 20 y 21 TCP). 


Respaldo y restauración del 10S de CISCO 


2960-2411 
SW-USERS 


Router - PT 
192,168,1,1 


Server - PT PC-PT 192.168.5.1 
192.168.1.254 192.168.5.100 


5 ir SolarWinds - TFTP Server 
dl -" 
gen 


PC-PT 
PC-1 


Figura 21. La presente topología representa 
la forma de interactuar con un servidor TFTP. 


Verificación de contenidos 

Para verificar cualquier configuración por default, o en su defecto, 
efectuada recientemente sobre el dispositivo de red, podemos también 
hacer uso del comando show. En la siguiente imagen, se muestra la 
forma de consultar el contenido de nuestra memoria flash. 


¡Ny DESCARGA DEL I0S MEDIANTE XMODEM 


Xmodem es un protocolo de transferencia desarrollado en 1977 de uso público. Nos sirve para descar- 
gar y restaurar ficheros de imagen del lOS. Para hacer efectiva la restauración de archivos se emplea el 
comando xmodem, que generalmente reside sobre el modo Rommon del equipo CISCO. 


Wwww.redusers.com <« 


Ey AUSERS| 2. CONFIGURACIÓN DE ROUTERS 


LBELIGDS DSTON UNOA, ASIBIOL AVRSLADIA, AOIezOS renal: 
Ass buen Cf procemsos hosrá System Flash (Rasa/F= Lies 


Figura 22. De este modo se puede 
visualizar el contenido de nuestra memoria flash. 


Con el fin de resumir la explicación correspondiente a backup, 
a continuación presentamos los comandos más utilizados por los 
administradores de dispositivos de red CISCO: 


TABLA 3: RESUMEN DE COMANDOS PARA BACKUP DEL 105 


y COMANDO y FUNCIÓN 


Tabla 3. Comandos empleados para la restauración y backup del lOS. 
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Si en algún momento deseamos llevar a cabo alguna operación a 
la inversa (con respecto a la tabla anterior), basta con solo invertir 
los comandos de configuración. Por ejemplo: si pretendemos hacer 
una copia de un servidor TFTP a la memoria RAM del dispositivo, 
debemos colocar copy tftp running-config en vez de copy running-config tftp. 
Ahora, si lo que deseamos es abreviar el comando running-config startup- 
config (el cual es indicado para optimizar tiempo), podemos utilizar la 
orden denominada rw. 


Recuperación de accesos 

Seguramente en más de una ocasión nos hemos visto en la 
necesidad de recuperar un acceso a la consola de un dispositivo 
de red. A continuación, vamos a develar uno de los secretos mejor 
guardados por muchos administradores de redes CISCO, que tienen 
como propósito darnos a conocer el proceso 
de recuperación de acceso a un equipo de cuya 


contraseña no ha quedado una sola evidencia. LAS CONTRASEÑAS 
Antes de dar inicio, debemos aclarar que no RARAMENTE PUEDEN 

es lo mismo recuperar un acceso, que recuperar 

un password. Puesto que se sabe que las claves SER RECUPERADAS, 

raramente se pueden rescatar (si se trata de PUES SE ALMACENAN 

contraseñas seguras) ante un posible extravío 

u olvido. La razón más contundente es porque CIFRADAS 


estas permanecen cifradas en el propio sistema 

operativo. No obstante, siempre existe una 

solución a todos nuestros problemas, y este punto no es la excepción. 
Llevar a cabo el proceso de recuperación de accesos no es cosa 

del otro mundo, sin embargo, es indispensable que poseamos los 


conocimientos previos sobre configuración de equipo, y conocer 
algunos conceptos elementales: 


+ Secuencia de arranque: recordemos que se trata del proceso 
emitido por un dispositivo de red (cada vez que se enciende) 
en el que se busca un sistema operativo (IOS) que gobernará su 
funcionamiento. Para obtener mayor información respecto a las 
fases del proceso de arranque de un router, aconsejamos analizar su 
proceso de inicio. 
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+ Registro de configuración (configuration register): consiste 
en un registro de 16 bits almacenado por default en la NVRAM 
del dispositivo. Su valor por defecto es 0X2102. Como se puede 
apreciar, dicho dato se expresa en nomenclatura hexadecimal (tal 
y como lo indican los dos primeros caracteres de la cadena -0x). 
Para visualizar este dato, podemos invocar el comando show version 
desde el modo EXEC privilegiado del equipo. En cambio, para la 
modificación del presente registro (tarea que se tiene que efectuar 
para la recuperación de accesos), se usa el comando config-register 
desde el modo de configuración global. 


EEE 


Figura 23. En el presente esquema se visualizan 
los datos correspondientes al registro Ox2102. 


+ Señal break: conocida como señal de interrupción en la secuencia 
de arranque de un dispositivo de red. Esta señal consiste en una 
combinación de teclas: CTRL+PAUSE emitida por el administrador. 


+ ROM MONITOR: a esta sección se le conoce como modo Rommon. 


Nos permite la modificación del registro de configuración del 

router. Para conseguir ingresar a este espacio, el usuario debe emitir 
la señal break, donde podrá cambiar el registro 
de configuración (de 0x2102 a 0x2142) con solo 


SEÑAL BREAK ES teclear la orden confreg 0x2142. Esto tiene como 
UNA SEÑAL DE finalidad omitir la lectura del fichero startup- 

A config ubicado en la NVRAM del equipo (donde se 
INTERRUPCIÓN EN almacena la clave). 
LA SECUENCIA DE Tengamos que cuenta que una vez abordados 


ARRANQUE 


e 


los datos mencionados anteriormente, podemos 
iniciar el proceso de recuperación de acceso, tal 
y como se describe en detalle en el Paso a paso 
que mostramos a continuación. 
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PAP: PROCESO DE RECUPERACIÓN DE ACCE 


0 Encienda el router y espere a que cargue el 10S del dispositivo. Posteriormente, 
inicie verificando el registro de configuración del router con ayuda del comando 
show version desde el modo de acceso EXEC usuario. 


Byeten resurnad to BOM by zelond 
Byevem image Cila da "Elash:pultoo- ¿me .122-20.bin0 


Rourecsralcad 
Drecsad with eslosd7 [ocnfirm 


0 Interrumpa la secuencia de arranque presionando CTRL+PAUSE, Ahora, note que 
el prompt ha cambiado al modo Rommon. 
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» 
0 Desde el modo Rommon, ingrese el comando confreg 0x2142. Lo anterior 
hace posible pasar del registro 0x2102 al 0x2142. Prácticamente, esto ocasionará 


que se ignore la lectura del fichero startup-config alojado en la NVRAM. 


0 Una vez reiniciado el dispositivo, aparecerá el diálogo de configuración del 
equipo. Coloque No, y posteriormente, verifique el registro de configuración con 
ayuda de show versión desde el modo de acceso EXEC usuario. 
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> 
0 Proceda a realizar la copia de toda la información almacenada en la NVRAM 
a la memoria RAM del dispositivo. Posiciónese en el modo de acceso EXEC 
privilegiado y ejecute copy startup-config running-config. 


0 Ahora proceda a habilitar nuevas claves de acceso y configuración de usuarios 
(protección de modo EXEC, protección de línea de consola, VTY y AUX). Trate 
de colocar passwords válidos y de habilitarlos con la orden Togin. 
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» 
0 7 Una vez dada de alta la nueva configuración de cuentas y accesos, entre al modo 
de configuración global e intente regresar al registro de configuración Ox2102. 


Introduzca el comando config-register 0x2102. Presione ENTER. 


0 8 Finalmente, realice la copia de la información cargada en la RAM a la NVRAM del 
dispositivo mediante el comando: copy running-config startup-config 
Presione dos veces la tecla ENTER. Y finalice introduciendo la orden reload. 
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Cabe mencionar que pueden existir otras técnicas muy similares 
para el cambio del registro, sin embargo, la que se ha mostrado con 
anterioridad es una de las más utilizadas. 


Manejo de interfaces 


Existen diferentes tipos de interfaces en un 


router, Su función se centra en hacer posible la LAS INTERFACES MÁS 
comunicación entre otros dispositivos de red. CONOCIDAS SON 
Por lo general, toda interfaz de uso común en los 
equipos CISCO debe ser configurada. Para ello es LA INTERFAZ 
necesario asignar inicialmente una dirección IP y ETHERNET Y LA 
una máscara de red válida. 

Los tipos de interfaces más conocidas en el INTERFAZ SERIAL 


ámbito de las telecomunicaciones son: la interfaz 

ethernet y la interfaz serial. La primera se y y 
representa por un puerto RJ-45 que maneja diferentes anchos de banda 
(bandwidth) previamente definidos; en cambio, las interfaces seriales se 

ven representadas como puertos en paralelo, que permiten la asignación 


de un ancho de banda y una velocidad de enlace definido (clockrate). 
En el siguiente tema, ahondaremos en la descripción de estas interfaces. 


Figura 24. En esta imagen, se puede apreciar 
la estructura fisica de las interfaces de un router. 
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Interfaces ethernet 

Las interfaces ethernet (RJ-45) son habitualmente identificadas con 
un nombre distinto entre sí y debidamente asociados con un ancho de 
banda que oscila entre 10 hasta 1000 Mbps (1 Gbps), respectivamente. 


TABLA 4: ANCHO DE BANDA DE LA INTERFAZ ETHERNET 


y IDENTIFICADOR DE INTERFAZ y ANCHO DE BANDA 


Tabla 4. Ancho de banda de la interfaz ethernet. 


Toda interfaz ethernet de un dispositivo de red, además de una IP 
y una máscara de red, tiene asociada una secuencia de valores como 
este: 0/0. El primer dígito representa el número de slot o puerto, el 
cual permite la comunicación (a través de un medio de transmisión 
o cable) de un equipo a otro. En tanto que el segundo valor hace 
referencia a la interfaz empleada. 

Por lo general, este rango de valores puede ir desde el O (cero) hasta 
N. Donde N es el número total de puertos e interfaces que contiene 
dicho dispositivo. 

Para configurar una interfaz tipo ethernet, debemos emplear la 
orden interface ethernet. Para conocer el proceso de configuración de una 
interfaz, analicemos el siguiente Paso a paso. 


¡Ny BANDA ANCHA 


La tecnología de banda ancha (broadband) permite que varias señales viajen en un solo cable al mismo 
tiempo. Las tecnologías de banda ancha, como DSL ta línea de suscriptor digital y el cable—, funcionan 
en modo Full duplex. Con conexiones DSL, los usuarios pueden incluso descargar datos en su compu- 
tadora y hablar por teléfono de manera simultánea. 
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PAP: CONFI CIÓN DE UNA INTERFAZ ETHERNET 


0 Debe acceder hasta el modo de configuración global. Coloque el comando 
interface [tipo] [número]. En seguida presione la tecla ENTER. 


Routerdenable 


End with CNTL/Z 


0 Ahora, proceda a colocar la dirección IP asociada a la interfaz: ¡p address 
[dirección IP] [máscara de red]. Finalmente presione la tecla ENTER. 
Antes de colocar una dirección IP y una máscara de red, verifique su validez y rango. 


Rourersenable 


Routerfconfigure terminal 
Enter configuration commands, one per líne. End with CNIL/Z. 
¡Router (config) finterface erherner 0/0 

Router (config-1£)fip address 192.168.0.23 255.255.255.0 
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»> 
0 3 Asigne una velocidad estándar para la interfaz ethernet (10 Mbps) y un modo 
de transmisión duplex. Finalice con el comando no shutdown para salvar la 
configuración, pues de no colocar dicha orden, las interfaces configuradas no 
estarán habilitadas. Presione la tecla ENTER. 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per líne. End with CNTL/Z. 
Router (config) finterface ethernet 0/0 

Router (config-1£)fip address 192.168.0.23 265.255.255.0 
Router (config-11) fapeed 10 

Router (config-1£) fduplex full 

Router (config-1£) fdescription CONFIGURACION DE INTERFAZ 
Router (config-12) fno shutdown 


SLINK-S-CHANGZD: Interface Ethernet0/0, changed state to up 
Router (config-11) 8] 


Debemos saber que el ancho de banda por default en una interfaz 
ethernet es de 10 Mbps. Si en algún momento surge la necesidad 
de aumentar la capacidad de transferencia, sugerimos sustituir el 
identificador ethernet, por alguno de los otros identificadores 
(referidos en la tabla inmediata anterior). Si en algún momento 
utilizamos Packet Tracer para montar nuestras topologías, podemos 
darnos cuenta de lo sencillo que es entender el concepto de interfaces. 
En el siguiente esquema, presentamos una topología creada en el mismo 
Packet Tracer, en la cual se representa el uso de las interfaces ethernet. 


vuvy 
PACKET TRACER 


Se trata de un programa que nos permite crear la topología física de la red simplemente arrastrando los 


dispositivos al área de trabajo. Luego será necesario hacer clic en ellos para ingresar a sus consolas de 
configuración. Este programa soporta todos casi todos los comandos de los routers CISCO. 
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1841 
USERSO1 


Switch - PT Switch - PT - Empty 
Coordinación Edición 


EME 


PC-PT 


Coordinación01 Coordinación02 


Port Link VLAN IP Adress MAC Address 


Ethemet0/1 Up 1 - 0060.471D.2D96 
Ethernet1/1 Up 1 - 0004,9412,AAE7 
Viant Down 1 <no set> 0001.6316.5748 


Hostname: Switch 


Physical Location: Intercity, Home City, Corporate Office, Mail Wiring Closet 


Laptop - PT 
Edicion01 


Figura 25. Vista de las interfaces de un router desde Packet Tracer. 


Interfaces seriales 

Como hemos mencionado, las interfaces seriales son otro tipo 
de interfaces residentes comúnmente en dispositivos de red como el 
router. Los módulos para la inserción de WIC (WAN Interface Card - 
Tarjeta de interfaz WAN) de este tipo, por lo general, son más grandes 
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que los tradicionales ethernet y a menudo se utilizan para establecer 
enlaces entre routers. El proceso de configuración de una interfaz de 
tipo serial es prácticamente el mismo que se utiliza para configurar 
interfaces ethernet. 


Figura 26. En la imagen se muestra 
la estructura física de una WIC serial. 


Las interfaces seriales las podemos clasificar de acuerdo con 
su función y uso. Normalmente existen dos clases de interfaces: la 
DTE (Data terminal equipment — Equipo terminal de datos) y la DCE 
(Data communications equipment — Equipo de comunicación de datos). 
Esta última se encarga de llevar el sincronismo de la comunicación 
(velocidad de enlace entre dispositivos, conocido como clock rate). 
En cambio el DTE funge solo como terminal de abonado. 


INTERFAZ SERIAL 


El puerto serie RS-232C, presente en las computadoras actuales, es la forma más comúnmente usada 


para realizar transmisiones de datos entre equipos. El RS-232C es un estándar que constituye la tercera 
revisión de la antigua norma RS-232, propuesta por la ElA (Asociación de Industrias Electrónicas); poste- 
riormente se realiza una versión internacional por parte del CCITT, conocida como V.24. 
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Las interfaces seriales permiten efectuar la 


conexión de un cable especial al equipo que LAS INTERFACES 

funciona como ruteador. Consideremos que estos SERIALES PERMITEN 

medios de transmisión incluyen, por lo general, e 

un conector físico hembra en un extremo y uno QUE SE EFECTUE UNA 

macho en el otro extremo. CONEXIÓN MEDIANTE 
En la imagen, claramente se puede apreciar 

la sintaxis del comando clock rate y bandwidth, UN CABLE ESPECIAL 


respectivamente. El rango permitido para clock 
rate en un router es de 1200 (por múltiplos de 2) 
hasta los 4000000 bps. Mientras que para bandwidth se tienen en claro 


los siguientes valores: 128 hasta 1544 Kbps. 


Router>enable 
Routertfconfig terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config)tinterface rial 0/0 

Router (config-i£)f$ip address 192.168.0.22 255.255-255.0 

Router (config-1£) $clock rate 4000000 

Router (config-i£)fbandwidth 128 

Router (config-1£) $description Zjemplo de configuracion de interfaz 
Router (config-i£)4no shutdown 


*LINK-5-CHANGED: Interface Serial0/0, changed state to down 
Router (config-1£)$ 


Figura 27. Proceso para la configuración de una interfaz serial. 


¡Ny ESPECIFICACIONES 


Debemos saber que el conector normalmente empleado en los interfaces RS-232 es un conector DB-25, 
aunque es normal que encontremos la versión de 9 pines DB-9 de forma más difundida en la actualidad. 
El estándar define que el conector hembra se situará en los DCE y el macho en el DTE. Consideremos que 
es fácil encontrar excepciones y que también es frecuente que muchas interfaces solo incorporen parte 
de los circuitos que se encuentran descritos en la especificación. 
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Las sub-interfaces 

La sub-interface es una interfaz lógica que nos permite realizar 
la utilización de varios enlaces troncales para el transporte de los 
datos, lo que a su vez facilita la ejecución de la comunicación entre 
redes (generalmente se trata de VLAN, de las cuales se hablará en 
detalle en el Capítulo 3 de este libro). 

Consideremos que tanto las interfaces ethernet, como las 
interfaces seriales permiten que se realice la creación de sub- 
interfaces. Estas generalmente se asignan al final de la línea de 
comandos establecida para configurar una interfaz: interface ethernet 
número-slots/número_interfaz.número_subinterfaz. Para su activación se 
debe ejecutar el comando no shutdown. 


Router>enable 
Routertconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 

Router (config) finterface fastethernet 0/0.1 

Router (config-subif) fencapsulation dotlg 3 

Router (config-subif)$ip address 192.168.0.3 255-255.255.0 

Router (config-subif) description PRUEBA DE SUBINTERFACE ETHERNET VLAN 
Router (config-subif) fexit 

Router (config)finterface fastetherner 0/0 

Router (config-1£)$no shutdown 


*LINK-S-CHANGED: Interface FastEthernet0/0, changed state to up 


ALINK-S-CHANGED: Interface FastEthernet0/0.1, changed state to up 


Router (config-1£)8| 


Figura 28. En la presente imagen se muestra el proceso 
para la configuración de una sub-interfaz en una VLAN. 


N ENLACE TRONCAL 


Es importante considerar que un enlace troncal es un enlace punto a punto, entre dos dispositivos de red, 
que transporta más de una VLAN. Un enlace troncal de VLAN le permite extender las VLAN a través de 
toda una red. Cisco admite IEEE 802.10 para la coordinación de enlaces troncales en interfaces Fast 
Ethernet y Gigabit Ethernet. 
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El comando no shutdown permite habilitar las 


interfaces y sub-interfaces en los dispositivos NO SHUTDOWN 
CISCO, pues de no colocar dicho comando, HABILITA 
nuestras interfaces permanecerán inactivas. 

Recordemos que estas se hallan asociadas a INTERFACES Y SUB- 
los puertos de nuestro dispositivo, por lo tanto, INTERFACES EN LOS 
es importante que estén bien configuradas. 

En el Capítulo 3 de este libro comenzaremos a DISPOSITIVOS CISCO 


configurar las interfaces de los dispositivos de red 


para hacer funcionar una topología. y y 


uuv 


a RESUMEN 


Sabemos que las funciones de un router y de un switch son totalmente diferentes, aunque la configu- 
ración de ambos es muy parecida entre si. La tarea de configuración no es cosa del otro mundo, sin 
embargo mantener un dispositivo de red bien configurado nos garantiza un trabajo más sólido y con 
escalabilidad en el futuro. De esta forma, en el presente capítulo, tuvimos la oportunidad de navegar por 
la interfaz del lOS y darnos cuenta de lo sencillo que es configurar desde: tipos de acceso al usuario, 
seguridad en los accesos, tipos de linea de comando y manejo de interfaces. En el capítulo siguiente nos 
enfocaremos en la configuración del switch CISCO. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


¿Cómo se consigue cambiar el nombre a un router? 
¿Qué comando sirve para asignar una contraseña a la interfaz de consola? 


¿Cuál es el comando empleado para la configuración de banners en un router? 


un 


Describa una forma válida para recuperar el sistema cuando se ha extraviado 
una contraseña. 


¿Qué función cumple la NVRAM? 
¿Cuál es el comando que permite guardar la configuración a la NVRAM? 
¿Cómo se elimina el contenido de una NVRAM? 


Mencione los tipos de interfaces que tiene un router. 


003 o sg 


¿Cuál es el comando para habilitar una interfaz creada? 


10 ¿Cuál es la forma correcta de asignar la velocidad de reloj a un router? 


EJERCICIOS PRÁCTICOS 


1 Intente cambiar el nombre a un router, sustituyendo el original por: USERSO1. 


2 Configure dos sesiones de usuario con los siguientes datos: username: CISCO, 
password: cisco y username: USERS, password: users. 


3 Despliegue en pantalla información sobre la memoria flash de su equipo. 


Recupere un acceso con la modificación del registro de configuración. 


Dé de alta una interfaz ethernet a 100 Mbps, una interfaz serial 0/0 y una 
sub-interfaz 0/0.1. 


n vuv 
PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorUVredusers.com 
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Configuración 
de switches 


En este capítulo conoceremos los principios de configuración 
de un switch CISCO, además de cómo crear e implementar 
un conjunto de VLAN para mantener un mejor manejo del 
dominio de broadcast en una topología de red. Abordaremos 
temas relevantes como configuración de puertos e interfaces, 


replicación de switches mediante VTP y enrutamiento entre VLAN. 


Configuración inicial.............. 100 Configuración , S 


de interfaces y sub-interfaces.......... 


 VLAN con equipos CISCO. Replicación con VTP.. 
Implementación VLAN ..... Modos VTP.... 
Asignación de puertos... Configuración de VTP .... 
Tipos de VLAN ..... 
Configuración de VLAN. .. y Resumen. 
Enlaces troncales.. 
Enrutamiento entre VLAN.... v Actividades... 
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=> Configuración inicial 


Hoy en día existe una gran variedad de switches CISCO 
originalmente clasificados según su aplicación y uso, tales como: 
switches de núcleo y distribución, switches de acceso, switches 
compactos, switches de agrupación, etcétera. Todos ellos con una 
característica técnica en común: incluyen una interfaz o sistema 
operativo que nos permite configurarlos según nuestras necesidades. 


Figura 1. Los switches de agrupación hacen posible 
la integración de banda ancha, movilidad y carrier ethernet. 


Analizaremos un conjunto de órdenes que 


LOS COMANDOS DE permiten configurar un router CISCO, comenzando 

CONFIGURACIÓN con el diálogo de configuración inicial y 
pasando por comandos que van desde colocar un 

INICIAL DEL SWITCH nombre de identificación, hasta proteger tanto los 

SON SIMILARES modos de acceso de usuario, como las líneas de 
comando (consola, VTY y AUX). 

AL ROUTER Derivado de lo anterior, es importante saber 


que para la configuración inicial de un switch, 


pueden emplearse los mismos comandos que se 
utilizaron para configurar el router. 
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Switch>enable 

Switchfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Switch (config) fhostname SH-USERS 

SW-USERS (config) fenable secret Pas$w0rd 

SHW-USERS (config) $line console 0 

SW-USERS (config-line)tpassword Pas$w0rd01 

SW-USERS (config-line) $login 

SW-USERS (config-line)$line vty 0 4 

SW-USERS (config-line) tpassword Pas$w0rd02 

SW-USERS (config-line) tlogin 

SH-USERS (config-line)$-Z 

SH-USERSE 

4SYS-5-CONFIG_I: Configured from console by console 


sia _—) 


Figura 2. En la presente imagen, se muestra 
el ejemplo de configuración inicial de un switch CISCO. 


Debemos saber, además, que no todos los 


dispositivos de red como el switch tienen la NO TODOS LOS 

propiedad de ser configurados. A este tipo de DISPOSITIVOS DE 

equipo se le conoce con el nombre de switch 

no administrable, esto quiere decir que no se RED TIENEN LA 

necesita instalar ningún software para su correcto POSIBILIDAD DE SER 

funcionamiento. Y mucho menos tienen que 

proceder a configurase. CONFIGURADOS 
En este sentido, podemos mencionar la serie 

100 de switches de la empresa CISCO, los cuales y y 

son no administrables, por lo tanto se presentan como un perfecto 


ejemplo de este tipo de equipos. 


Ho CONTROL DE DOMINIO DE BROADCAST 


Debemos saber que las redes de área local se segmentan en varios dominios de broadcast y de colisión 
más pequeños mediante el uso de dispositivos de red como el router y el switch. Hace algunos años, se 
utilizaba otro tipo de equipo llamado puente (bridge), cuyo desempeño aún era ineficiente y no tenía un 
control del dominio de broadcast en la red. 
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Figura 3. Los switches no administrables 
no necesitan ser configurados para trabajar. 


Una de las tareas más comunes en switches CISCO es la creación y 
puesta en marcha de LAN Virtuales o VLAN. Su proceso de gestión 
forma parte de la configuración inicial en los switches. En el siguiente 
tema, comenzaremos con la creación e implementación de VLAN. 


Switch>enable 

Switchtvlan database 

% Warning: It ís recommended to configure VLAN from config mode, 
as VLAN database mode ís being deprecated. Please consult user 
documentation for configuring VIP/VLAN in config mode. 


Switch (vlan) fvlan 7 
<1-1005> ISL VLAN index 
Switch (vlan)tvlan 20 name VENTAS 
VLAN 20 modified: 
Name: VENTAS 
Switch (vian)4| 


Figura 4. La gestión de VLAN en un switch representa 
uno de los procesos de configuración inicial del switch. 
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= VLAN con equipos CISCO 


Para comprender el papel que tienen las VLAN en una red de equipos 
de cómputo, es necesario definir en forma detallada sus funciones, 
características, forma de esquematización 
(topología de red), modos de asignación, sus 


tipos y desde luego los modos de operación. UNA VLAN ES UNA 
Comencemos con la definición de VLAN: se RED DE ÁREA 

trata de una red de área local que agrupa los 

puertos de un switch de manera lógica, pues a LOCAL QUE AGRUPA 

través de estos, se lleva a cabo la comunicación PUERTOS DE 

entre los usuarios conectados, los cuales también á 

se agrupan con el fin de compartir archivos y MANERA LÓGICA 


recursos de interés común (departamentos, 


sucursales corporativas). y y 


Figura 5. En el ámbito de las VLAN, los puertos físicos 
de un switch son configurados de manera lógica para funcionar. 


Debemos saber que la comunicación entre los diferentes equipos en 
una red se encuentra en gran parte regida por la arquitectura física. 

Actualmente, gracias a las redes virtuales (VLAN), es posible 
liberarse de las limitaciones geográficas de esta arquitectura, pues 
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a menudo las VLAN se encargan de definir una segmentación lógica 
basada en el agrupamiento de equipos. 


VLAN-CYC 
Departamento de 
Crédito y Cobranza 


2950-24 
Switch01 


2950-24 


Switch02 2950-24 


PC-PT Smitcho3 
Crédito02 


Figura 6. La tecnología VLAN se encarga de agrupar 
de manera lógica a los usuarios que comparten un interés común. 
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Las VLAN cumplen con el propósito principal 
de aislar el tráfico de colisiones y de broadcast EN GENERAL, UNA 
inmerso en la red. Una VLAN, generalmente, VLAN AGRUPA 
se encarga de efectuar la agrupación de 
los dispositivos en un mismo dominio de DISPOSITIVOS EN 
broadcast, con independencia de su ubicación UN DOMINIO DE 
física en la red. Esto quiere decir que nos 
permiten dividir un dominio de broadcast en BROADCAST 


dominios más pequeños para conseguir un mejor 
desempeño de la red. 


Dominio de Dominio de 
Broadcast A Broadcast B 


Figura 7. Una VLAN permite dividir el dominio 
de broadcast en dominios de menor tamaño. 


Con la implementación de VLAN en redes conmutadas se obtiene 
un nivel de seguridad más elevado, una segmentación más eficiente y 
un alto grado de flexibilidad. Es por ello que muchos administradores 
han considerado la creación de redes virtuales en sus topologías. 


www.redusers.com 


7) 


106 PE 3. CONFIGURACIÓN DE SWITCHES 


Implementación VLAN 

El funcionamiento e implementación de las VLAN están definidos por 
un organismo internacional conocido como IEEE Computer Society y 
el documento en donde se detalla es el IEEE 802.10. 

En el estándar 802.10 se define que para llevar a cabo la 
comunicación en una red local, se requerirá desde luego de la 
participación de un router dentro de la misma red de trabajo, el cual 
debe ser capaz de entender e interpretar los formatos de los paquetes 
que conforman las VLAN, con el único fin de recibir y dirigir el tráfico 

hacia el destino correspondiente. 
Es evidente que no estamos exentos del uso 
NO ESTAMOS de otros dispositivos de red a parte del switch. 
EXENTOS DEL USO DE Pues muchas topologíias incorporan un enrutador 
para ilustrar la comunicación de las VLAN. Este 
OTROS DISPOSITIVOS dispositivo, generalmente, cumple además 


DE RED ADEMÁS con la función de gateway (puerta de enlace 
predeterminada), que se encarga de la unión y 
DEL SWITCH comunicación de dos o más VLAN del entorno. 


El principio de implementación de VLAN se 


E E realiza sobre la base de los siguientes pasos: 


e Crear en primera instancia una VLAN o más; más adelante, en el tema 
configuración de VLAN, conoceremos los detalles para tal efecto. 

e Asignar nuestras VLAN creadas a los puertos del switch (incluso 
trunk). Más adelante, en el tema Asignación de puertos, 
conoceremos más detalles sobre esta operación. 

e Mostrar las VLAN creadas, con el fin de verificar que todo esté bien 
configurado y que pueda funcionar correctamente. 

e Guardar la configuración a la NVRAM de nuestro equipo. 

e Proceder a configurar un enlace troncal para recibir y enviar el 
brodcast entre los distintos switches. 


Después de esto, seguramente será necesario configurar salidas a 
otras redes (router-gateway) y de esta forma es importante considerar 
el uso del método de replicación (VTP) de VLAN. 

En el siguiente Paso a paso vamos a explicar cómo implementar una 
VLAN en el ámbito de las redes CISCO. Para ello, vamos a basarnos en 
la topología expuesta en el primer paso: 
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PAP: IMPLEMENTACIÓN COMPLETA DE UNA VLAN 


0 Dada la siguiente topología, comience a identificar cada uno de los elementos: 
ubique el Switch01, el Switch02, las PC de Estudiantes y las PC de Docentes 
(identificadas como EST y DOC, respectivamente). Note que cada switch 
representa la planta de un edificio. También preste atención a los datos señalados 
en la parte inferior de la topología. 


2950-24 2950-24 
Switch01 Switch02 


VLAN 90: Prederminada 


VLAN 100: Administración fa0/23 192.168.100.0/24 
VLAN 10: Estudiantes fa0/1-10  192.168.10.0/24 
'VLAN 20: Docentes fa0/11-20 192.168.20.0/24 
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» 
0 Verifique el mapa de VLAN a las que se encuentra sujeto el SwitchO1 con el 
comando show vlan desde el modo de acceso EXEC privilegiado. Note que 
existe la VLAN por default o nativa, la cual se identifica con el no. 1. 


£ooz roai-dereute actuan 
003 token=ring-de tulo en 
cos zoarner-aerauit 

icos eemes-derauzo 


rua zype Saro MIU Farent AzIGUO Beicgeno Stp Sraptode Iransl Iransz 
1 amar 100001 1800 - - . 0 
isoz raaí 101002 280 === - - 2 0 
leoa re 201003 1600 == o > 0. 
1004 fdmez 101004 1800 == tee. — . 0 
o - . 0. 


0 Ahora proceda a crear un par de VLAN. Utilice el SwitchO1. Coloque un número 
válido de identificación (ID_VLAN) y un nombre a cada VLAN. Por ejemplo: ID 
VLAV: 10 con el nombre “Estudiantes” para la primera VLAN. 


Svitchvenable 

Switchtconfígure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Switch (config) flan 10 

Switch (config-vlan)$name Estudiantes 
Switch(config-vlan) fvlan 20 

Switch (config-vlan)fname Docentes 

¡Switch (confíg-vlan) fexis 

Switch (config) Pexit 

Switcht 

ASYS-S-CONFIG_I: Configured from console by console 


Switchs 
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> 
0 Ahora asigne las VLAN antes creadas a los puertos del switch que desea delimitar 
para efectos de comunicación. Para ello determine el rango de 1 a 10 para la 
VLAN 10 y del puerto 11 al 20 para la VLAN 20. 


Switch (config-vlan) texit 
[Switch (config) fextr 

Swstehs 

WSYS-5-CONFIG_I- Configured from console by console 


Switchtconfigure terminal 
Entez configuration comands, one per line. End wíth CNTL/Z. 
Switeh(confíg)finterface range fasterherner 0/1-10 

Switch (config-1f-range)tawitchport mode acce: 

Switch (config-1f-zar itehport access vlan 10 

Switch (config-12-zange) fexit 

Swstch(config)finterface range fastethernet 0/11-20 
Switch(config-1f-zange) fawitchport mode access 

[sustch (config-18-range) tavitehport access vlan 20 

Switch (config-12-zange) fexír 

Switch (config) fexir 

Switch 

WSYS-S-CONFIG_I: Configured from console by console 


0 Muestre ahora las configuraciones creadas con el comando show vlan. Note que 
se han creado tanto la VLAN 10 (Estudiantes), como la VLAN 20 (Docentes) y han 
sido asignadas a los puertos correspondientes (datos de la derecha). 


700/19, 
ZadinerSetaalt ace/cnea 
-derauze acc cn 


sar MIU Farent Riollo Bridgello Sep 


100010 
101003 
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» 
0 6 Guarde la configuración previa en la NVRAM de su equipo. Posteriormente proceda 
a replicar el proceso antes descrito en el SwitchO2 de la topología. Este proceso lo 
puede hacer manualmente o a través del método de replicación VTP. 


sao 


100001 1500 


Ss E E =É o. 

ener 100O eo - - o. 
anar 100020 1500 = e o . 
zÓdi 101002 1800 - - o 0 
mE 1000 o - - o 4 
Lomas 101004 500 dese o. 
15 temer 101005 1800 iba - o e 


SON ULA 


suitehtespy running=contig 
svatengcopy ruaning-contag sta 
Desvínenion Eilenane [starmup- 
Building centigurazion 


0 Una vez replicada dicha información en ambos switches, basta con configurar un 
enlace troncal entre ambos. Aplique un modo trunk, en vez de un modo de acceso. 
Puede hacer uso del puerto 24 y direccionarla a la VLAN nativa. 


one per line. End with CNTL/Z. 
Switch(config) interface fasterherner 0/24 
Switch(config-£f) fawitchport mode trunk 


Switoh (config) exit 
Swstent 
(WSYS-5-CONFIG_I: Configured from console by console 
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0 8 Proceda, ahora, a visualizar la información del enlace troncal efectuado. Para ello, 
desde el modo de acceso EXEC privilegiado, ejecute la orden show interface 
trunk más ENTER. Note que ha sido asignado al puerto 24 la VLAN nativa con 
identificador 90 y un tipo de encapsulado 802.1q. 


Switch»enable 

>Switchfsh interface trunk 

Port Mode Native vlan 
Fa0/24 on 


Vlans allowed on trunk 
1-1008 


Vlans allowed and active in management domain 
1,10,20,90 


Viana da apanning trae forvarding state and not prunad 
1,10,20, 90| 


0 Finalmente, proceda a verificar el funcionamiento de la topología. Para ello haga 
ping sobre el equipo origen y posteriormente sobre el equipo destino. Si todo es 
correcto, en el área de estado del escenario, los ping deben ser exitosos. 


Ho) SWITCHES AMIGABLES 


Es interesante tener en cuenta que existe una línea de switches amigables con el medio ambiente, los 


cuales se encuentran especialmente diseñados para la PyME aunque ya se encuentran a disposición de 
todos. Y es que la compañía ZyXEC Comunnications anunció a principios del año 2013 su nueva línea 
de switches no administrables (serie ES1100) equipados con la función denominada IEEE 802.3az 
Energy Efficient Ethernet (EEE), para un uso eficiente de la energía. 
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Conforme avancemos en el capítulo, seremos capaces de interpretar 
muchos de los comandos y de las acciones efectuados en el Paso 
a paso anterior. También más adelante, en el tema replicación 
VTP, vamos a conocer la manera de simplificar automáticamente 
la configuración de un switch para evitar repetir lo mismo por cada 
dispositivo conectado a la red de datos. 


Asignación de puertos 


En el ámbito de las redes CISCO, todos los dispositivos finales (host) 
que tienen a bien conectarse a una red de datos, lo hacen comúnmente 
a través de un puerto físico hacia un conmutador. Como se ha 
mencionado con anterioridad, los puertos de este último dispositivo 
deben estar configurados de manera lógica para que funcionen. De tal 

modo que las VLAN se pueden asociar de forma 
sencilla a cada uno de los puertos del switch, 


EXISTEN TRES aunque para ello deben tomarse en consideración 

MODOS DE los diferentes modos de asignación existentes: 
É asignación estática, asignación dinámica y 

ASIGNACIÓN: asignación de voz. 

ESTÁTICA, DINÁMICA La diferencia entre estos tres modos de 


asignación consiste básicamente en la forma 


Y DEVOZ de configurar los puertos de un switch para 


AL 


O 


conseguir la comunicación. En el primer caso, el 
administrador se encarga de asignar los puertos 
deseados de manera manual, delegando al switch la tarea de manejar 
el tráfico que circula por cada puerto dentro de la VLAN asociada. 
Las VLAN estáticas se configuran por medio de la utilización de 
la CLI del 1OS o con la aplicación de administración de GUI. Una vez 
configuradas las VLAN, se deben asignar manualmente a cada uno 


1144 


LABORATORIOS VIRTUALES EN INTERNET 


A través de la siguiente página de internet: www.redescisco.net encontraremos un interesante bosquejo 


dedicado a las redes CISCO en particular. Pues además de abundantes recursos online, podremos dis- 


frutar de un laboratorio virtual totalmente gratis, mediante el cual configurar equipos reales a distancia. 
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de los puertos del switch. De antemano, siempre es recomendable la 
utilización de la CLI para realizar cualquier tipo de configuración, ya 
que de esta forma obtendremos un mayor aprendizaje de los comandos 
que nos ofrece el 1OS de CISCO. 


VLAN dinámica 


Asignación manual Asignación automática 
TS 


Figura 8. Los puertos de un switch pueden ser configurados para admitir 
VLAN estáticas o dinámicas. 


En cambio, el modo de asignación dinámica se basa en la 
MAC address del dispositivo conectado a cualquiera de los puertos 
del switch. Este tipo de asignación (automática) es a menudo muy 
empleado por los administradores de redes, debido a su flexibilidad 
y escalabilidad. Aunque muchos otros consideran este modo de 
asignación un tanto inseguro debido a la clonación masiva de 
direcciones MAC. Pero finalmente nosotros seremos los mejores jueces 
a la hora de la configuración de una red. 


Qn CUIDADO CON LAS COLISIONES 


Una colisión en ethernet es el resultado de dos nodos que transmiten de forma simultánea un conjunto 
de tramas (información lógica que se envía a través de un medio de transmisión) como una unidad de 


capa de enlace de datos a través de cada uno de los dispositivos. 
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Para la asignación dinámica, se emplean 


PARA EFECTUAR herramientas de software para su configuración 
LA ASIGN 'ACIÓN (Enterasys NetSight, CiscoWorks). 

E Derivado de lo anterior, debemos saber que 
DINÁMICA durante la configuración de VLAN, podemos 
SE UTILIZAN asignar tantos puertos físicos (a través de 

interfaces lógicas) como sean necesarios a una 
APLICACIONES única VLAN. Cuando este sea el caso, podemos 


recurrir al siguiente comando: interface range [tipo 
de interfaz] 0/1-10. Después de esta acción notemos 
que el prompt cambia a (config-if-range)*. El número 0/1-10 indica el 


rango de interfaces (puertos) de 1 a 10. 


Switch>enable 

Switchtconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Switch(config)finterface fastethernet 0/10 
Switch(config-1£)fswitchport mode access 
Switch(config-1£)fswitchport access vlan 20 

Switch (config-1£)fend 

Switcht 

4SYS-5-CONFIG_I: Configured from console by console 


Figura 9. En esta imagen se ilustra 
la configuración inicial de una VLAN estática. 


HA) UNA GRAN PEQUEÑA DIFERENCIA 


Una de las principales diferencias de sobrecarga de identificación (en bytes) entre ISL e IEEE 802.1Q en 
una VLAN es que para la primera se añaden 30 bytes a cada trama, mientras que IEEE 802.10 solo se 
encarga de añadir 4, Lo anterior implica que en el caso de utilizar ISL la trama puede superar los 1518 
bytes que representa el límite de ethernet. 
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Por último, el modo de asignación por voz es utilizado en ámbitos 
de telefonía IP, del cual no vamos a ahondar en este libro. 


A AA 


Figura 10. CiscoWorks es una herramienta 
auxiliar para la configuración de VLAN dinámicas. 


Tipos de VLAN 


No debemos confundir los modos de asignación de puertos para 
VLAN (que generalmente se conocen como VLAN estáticas y VLAN 
dinámicas, respectivamente), con los tipos de VLAN existentes. 

Los tipos de VLAN reconocidos por CISCO son: 


+ VLAN de datos: se trata de una VLAN configurada para enviar solo 
tráfico de datos generado por el usuario. A menudo es también 
denominada VLAN de usuario. 

+ VLAN predeterminada: es la VLAN primaria de un switch, a 
menudo identificada como VLAN1. Todos los puertos del switch 
se convierten en un miembro de la VLAN predeterminada luego 
del arranque inicial del dispositivo, por lo que forman parte de un 
mismo dominio de broadcast. Otra manera de referirse a la VLAN 
predeterminada es aquella que el administrador haya definido como 
la VLAN a la que se asignan todos los puertos cuando no están en 
uso. Este tipo de VLAN no puede ser eliminada. 
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16 0253 


VLAN 10 
172.17.10.1 


En 


PC-PT 
Pco1 


VLAN 99 
172.17.99.254 


Tel IP. PCO1 


VLAN 10 
172.17.20.1 


VLAN 100 


2950-24 2950-24 


PC-Pr 

Pco2 na s3 
VIAN 99 

VIAN 10 


172.17.99.252 
172.17.30.1 VLAN 100 


PC-PT 
Pco3 


Tel IP PCO3 


VLAN DE DATOS 


VLAN 10 - VENTAS - Sin etiqueta 
IP: 172.17.10.X 
M.R:255.255.255.0 


VLAN 20 - CRÉDITO Y COBRANZA - Sin etiqueta 
72.17.20.X 
M.R:255.255.255.0 


'VLAN 30 - PROYECTOS - Sin etiqueta 
IP: 172.17.30.X 
M.R:255.255.255.0 
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VLAN 10 
172.17.10.2 
VLAN 100 
7960 
Tel IP PCO4 Laptop -PT 
PCO4 
VLAN 20 
172.17.20.2 
IN 97 
VLAN 100 


100 as 
Tel IP PCOS 
VIAN 30 
172.17.30.2 


VLAN 100 


Tel IP PCOG 


'VLAN NATIVA 
VLAN 97 - Nativa 


VLAN PREDERMINADA 
VLAN 98 - Prederminada 


'VLAN ADMINISTRACIÓN 
VLAN 99 - Administración 
IP: 172.17.99.X 
M.R:255.255,255.0 


VLAN DE VOZ 

'VLAN 100 - Voz - Tagged 
IP: 172,17.100.X 
M.R:255.255.255.0 


Figura 11. Topología que ilustra la configuración de los tipos de VLAN. 
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+ VLAN nativa: este tipo de VLAN se encuentra asignada a un puerto 
de enlace troncal 802.10, el cual, por lo general, admite tanto 
el tráfico que llega de varias redes virtuales (tráfico etiquetado) 
como también el tráfico que llega desde una LAN tradicional (tráfico 
no etiquetado). El puerto de enlace troncal 802.10 se encarga de 
colocar el tráfico no etiquetado en la VLAN nativa. 

+ VLAN de administración: es cualquier VLAN que puede ser 
configurada para acceder a las capacidades de administración 
de un switch. La VLAN1 serviría como VLAN de administración 
si no se define una VLAN única para que funcione como VLAN de 
administración. Aunque se sabe que no es una buena idea concebir 
la VLAN1 como VLAN de administración. 


La VLAN de administración debe ser configurada asignando una 
dirección IP y una máscara de red. A menudo es identificada como 
VLAN 99 por los administradores de redes. 


Configuración de VLAN 


Con fines prácticos, en este capítulo nos enfocaremos en la correcta 
configuración de las redes virtuales estáticas, para lo cual es 
necesario que retomemos en detalle algunos 
conceptos citados con anterioridad. 


Consideremos que para comenzar con el diseño PARA CORROBORAR 
de VLAN, inicialmente, debemos estar ubicados EL EFECTO DE CADA 
en la configuración global del switch que se desea 4 
configurar. Para efectuar dicha tarea, emplearemos CONFIGURACIÓN, 
los siguientes comandos: vlan número_vlan y name DEBEMOS USAR EL 
nombre_vlan, los cuales deberán estar precedidos 
de un ENTER, respectivamente. Recordemos, COMANDO SHOW 
además, que para corroborar el efecto de cada 
configuración, podemos hacer uso del comando 
show. Así, debemos tener en cuenta que en este caso emplearemos la 


orden: show vlan. 

La tarea de diseño de una VLAN también se puede llevar a cabo 
mediante el modo de configuración de VLAN (vlan database). En el 
siguiente Paso a paso se muestra el proceso de configuración de una 
VLAN desde el modo de configuración global. 
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PAP: PROCESO DE CONFIGURACIÓN DE 


01 


[suitenvenable 
[Switehtconfigure terminal 


Switch (config) tvlan 7 
<1-1006> ISL VLAN IDa 1-1008 

Switch (config) tvlan 10 

Switch (config-vlan) 


0 


la figura. Finalice con la orden exit. 


Switensenable 
[Sustehtconfigure terminal 
Enter configuration comanda, 
¡Switch (config) tvlan ? 
<1-1008> ISL VLAN IDs 1-1008 
[Switch config)gvlan 10 
[Switch (config-vlan) fname VENTAS 
[Switch (config-vlan) fexir 
Switch (config) + 


»  www.redusers.com 


Enter configuration comands, one per line. 


one per line. 
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AN 


Entre al modo de configuración global. Una vez hecho esto, inicie creando la 
VLAN con el comando vlan. Coloque un número válido (estándar de 1 a 1005). 


End with CNTL/Z. 


Ahora proceda a colocar un nombre de identificación a la VLAN previamente 
creada. Para ello, haga uso del comando name [nombre], tal y como se muestra en 


End with CNTL/Z. 
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0 Una vez creada la VLAN, debe asignar a ésta los puertos necesarios para la 
comunicación. Coloque el número de interfaz que desea configurar para la VLAN 
y el modo de enlace seguido del número de VLAN a configurar. 


suitcioenable 
[switehtconfígure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 
[switch (config) gvlan ? 
<1-1008> ISL VLAN IDs 1-1006 
[suttch (config) fvlan 10 
[Switch (config-vlan)$name VENTAS 
[Switch (config-vlan) fexit 
[Switch(config) finterface fasterherner 0/1 
[switch (config-12) tamitchport mode access 
[Switch (config-1£) tawitchport access vlan 10 
[Switch (confíg-18) texte 
[Switch (config) fexiz 
[suitens 
[*sYS-5-CONFIG_I: Configured from console by console 


susrone 


0 Proceda a comprobar la configuración previamente realizada con la ayuda del 
comando show v1an. Tome en consideración que, para esto, debe estar situado 
en el modo de acceso EXEC privilegiado. 


Fa0/2. 3aD/S, TAC/S, FaD/S 
zu0/8, . 
Fa0/19, Pad/A1, 300/12, 780/12 
Fa0/14. Fa0/15. Fa0/16, F80/27 
Fa0/28, 70/19, Ta0/23 
Fao/23, 720/22, 
za0/1 
pue 
en=ring=detacie pe 
teminer—ae fault ac=/ crap 
armes defando a/a 


spa SAID MIU karent Asngllo Ertágelio Sep 


100901 
101902 
101003 
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En este repositorio vlan database, se almacenan 


EL REPOSITORIO todas las VLAN creadas en los dispositivos CISCO. 
VLAN DATABASE A través de dicho medio, el administrador puede 
incluso realizar configuraciones básicas para 
ALMACENA LAS efectos de replicación y sincronización de 
VLAN CREADAS EN datos, como veremos más adelante en el tema 


replicación con VTP. 


DISPOSITIVOS CISCO Derivado del Paso a paso anterior, debemos 


A 


saber que el modo de acceso (switchport mode access) 

es a menudo utilizado para indicar que se trata de 
un puerto donde se conectarán los host y no otros switches. En cambio, 
la orden switchport access vlan es la que está asociada a la interfaz. 

Para poder eliminar una VLAN no deseada o creada por error, existen 
dos formas: una de ellas consiste en utilizar la orden no vlan número_vlan 
(ejecutada desde el modo de configuración global) o bien borrando el 
fichero vlan.dat desde la memoria flash del equipo. 


Switch>enable 
Swirchtconfigure terminal 

Enter configuration comands, one per líne. End with CNTL/Z. 
Switch(config)£no vlan 10 

Switch (config) texte 

Switche 

ASYS-5-CONFIG_I: Confígured from console by console 


Switchgahow vlan 


VLAN Name Status Porta 


Fa0/2, Fa0/3, Fa0/4, Fa0/S 
7a0/6, Fa0/7, Fa0/8, Fa0/3 

/10, Fa0/12, Fa0/12, Fa0/13 
Fa0/15, Fa0/16, Fa0/17 
Fa0/18, Fa0/19, Fa0/20, Fa0/21 
Fa0/22, Fa0/23, Fa0/24 


1 default active 


1002 fddi-defaule acc/unsup 
1003 token-ring-defaulr act/unsup 
1004 fddiner-defaule acc/unsup 
1008 trner-defaulr act/unsup 


Figura 12. En la presente imagen se muestra 
el proceso de eliminación de una VLAN. 


Cada vez que realicemos alguna configuración, recomendamos 
guardarla en la NVRAM de nuestro equipo. Recordemos que para tal 
efecto, debemos emplear el comando: copy running-config srtatup-config, 
desde el modo de acceso EXEC privilegiado. 
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Enlaces troncales 

Otro término que debemos tomar en cuenta a la hora de trabajar con 
VLAN es: enlace troncal. 

Los enlaces troncales son también conocidos como trunk. Se trata 
de enlaces capaces de transportar el tráfico de más de una VLAN, lo 
cual es posible gracias a la interacción entre switches. 

Al activar un puerto como troncal, por defecto todas las VLAN pasan 
por él a través de un único enlace físico. 


Interfaces troncales 
VLAN1 - VLAN100 - VLAN200 - VLAN300 


" VLAN 300 
MÉXICO ARGENTINA 


A 


VLAN 200 


Laptop - PT. PC-PT 
PCOS  PCO6 


Figura 13. En esta imagen se muestra 
la topología de un enlace troncal. 


A menudo las redes CISCO permiten utilizar enlaces trunk en 


puertos Fastethernet, Gigaethernet y agregaciones channel. 
Los trunk, por lo general, trabajan con un conjunto de tramas 
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entrantes, las cuales son identificadas como VLAN-ID. Lo anterior se 
hace con el fin de poder diferenciar el tráfico de cada una de las VLAN. 

Para identificar el tráfico de un trunk, existen dos posibilidades de 
etiquetado basado en protocolos: el modo trunk ISL (Inter-Switch Link 
Protocol) y el modo trunk IEEE-802.10Q (siendo este el más utilizado 
en redes modernas). 

Para la configuración de enlaces troncales, en puertos de acceso de 
capa 2 de un switch CISCO, deben emplearse un conjunto de órdenes 
especiales. El primer comando que introduzcamos solicitará la elección 
de un tipo de encapsulado válido (ISL o Dot1q). Derivado de lo anterior, 
debemos saber que por defecto los switches del modelo 2950 ya tienen 
integrado por default el encapsulado 802.10, mientras que para los 
switches del modelo 2900, habrá que especificar la etiqueta ISL y Dot1q. 

awizchvenable 

Switchtconfigure termínal 

Enter configuration comanda, one per line. End with CNTL/Z 
Switch (config) face fasterherner 0/1 

Switch(config-1£) tawitchpore mode trunk 

Switch(config-1f)tawitchport trunk native vlan 10 

Switch(config-1£) fawitchport trunk allowed vlan 10-20 

Switch (config-1£) fawitchport mode dynamic desirable 

Switch (config-1£) texte 

Switch (config) texir 


Suitchs 
ASYS-S-CONFIG_I Confígured from console by console 


Switchtahow interface fa: 
Name: Fa0/1 

Switehport: Enabled 
Administrative Mode: dynamic des. 
Operational Mode: down 
Administrative Trunking Encapsulation: dotlq 
Operational Trunking Encapsulation: dotlg 
Negotistion of Trunking: On 

Access Mode VLAN: 1 (default) 

Trunking Mative Mode VLAN: 10 (Inactive) 
Voice VLAM: none 


ethernet 0/1 switchport 


le 


Figura 14. En esta imagen se muestra 
la configuración de un enlace troncal. 


Debemos saber que la orden switchport trunk native vlan solo tiene que 
utilizarse con el etiquetado Dot1q, lo cual nos indica que se trata de 
una VLAN nativa. Mientras que el comando switchport trunk allowev vlan 
se usa para añadir o borrar VLAN del trunk. 

No olvidemos que para mostrar los datos previamente ingresados 
podemos utilizar el comando show, tal y como se expresa a 
continuación: show interface [tipo] [número] switchport (trunk). 


»  www.redusers.com 


ROUTERS Y SWITCHES CISCO PE 123 


Enrutamiento entre VLAN 


Se llama enrutamiento entre VLAN o inter VLAN routing al 
proceso de asignación de rangos de IP a una red virtual, con el fin de 
que las computadoras que están dentro de dicha VLAN puedan tanto 
comunicarse entre sí, como con el resto de las VLAN configuradas. 
Recordemos que cada VLAN es un dominio de broadcast único. 


RouterO1 
FO/1: 172.16.10.1/24 
FO/1: 172.16.10.1/24 


SwO1 Routr01 


FO/11: VLAN 10 
FO/15: VLAN 20 


10 FO/1 FO/O 
FO/10: VLAN 10 
Sw03 
FO/21: VLAN 10 
FO/22: VLAN 20 FO/21 Fo/22 
Trunk Sw03 Trunk 


FO/20  Trunk 


Sw01 Sw02 


VLAN 10 
VENTAS 
172.16.10.21 172.16.20.21 172.16.10.22 


¿ 


Figura 15. En esta imagen se muestra una infraestructura VLAN lista para 
efectuar el proceso de enrutamiento, 


Para llevar a cabo la configuración de enrutamiento entre VLAN, 
debemos contar con la implementación de una infraestructura de 
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VLAN creadas y un router, pues a menudo los usuarios necesitarán 
intercambiar información de una red a otra. 

Para lograr la comunicación entre PC de una VLAN a otra, 
necesitamos tener un esquema de direccionamiento IP. Para esto 
se recurre a la declaración de interfaces y sub-interfaces. Una vez 
declaradas, debemos configurarlas con un rango de IP válido. Más 
adelante, en el tema indicado, mostraremos la forma de configurarlas. 


Configuración 
de interfaces y sub-interfaces 


El enrutamiento tradicional requiere de routers que tengan 
interfaces físicas múltiples para facilitar el enrutamiento entre 
VLAN. Por tanto, el router realiza el enrutamiento al conectar cada 

una de sus interfaces físicas a una VLAN única. 
Además, cada interfaz está configurada con una 


EL ENRUTAMIENTO dirección IP para la subred asociada con la VLAN 
TRADICIONAL conectada a ésta. Al configurar las direcciones 
IP en las interfaces físicas, los dispositivos de 
REQUIERE ROUTERS red conectados a cada una de las VLAN pueden 
CON INTERFACES comunicarse con el router. En esta configuración 


o 


A % los dispositivos de red pueden utilizar el router 
FISICAS MULTIPLES como un gateway para acceder a los equipos 


et 


conectados a las otras VLAN. 
Como ya se explicó en el capítulo anterior, 
la configuración de las sub-interfaces de un router es muy similar 
a la configuración de las interfaces físicas, excepto por que las sub- 
interfaces deben ser asignadas a una VLAN o red virtual con el único 
fin de establecer la comunicación entre ellas y con redes del exterior. 


vuvy 


ETHERCHANNEL 


Gracias a la tecnología EtherChannel, los dispositivos de red CISCO nos permiten realizar un agregado 


de enlaces con el único fin de aumentar el ancho de banda disponible. Esta agregación de puertos en 


equipos CISCO se puede realizar con las interfaces Fastethernet, Gigaethernet o 10 GigaEthernet. 
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Quizá esta sea una poderosa razón para utilizar y configurar un router 
en el ámbito de las redes virtuales. 


Figura 16. Los dispositivos de red pueden usar el router 
como gateway para acceder a otros dispositivos de la red. 


Aquí hay un punto a considerar de suma 


importancia, una cosa es configurar interfaces y HABITUALMENTE 
sub-interfaces en un router, y otra muy distinta EL ENRUTADOR SE 
sobre switches. Es habitual que en el enrutador se 
configuren para dar paso a otras redes con VLAN CONFIGURA PARA 
creadas. Y en el switch (interfaces únicamente), DAR PASO A REDES 
para la asignación de puertos. 

La sintaxis para la sub-interfaz es siempre la CON VLAN CREADAS 


interfaz física, en este caso ethernet 0/0, seguida de 
un punto y un número de sub-interfaz. y y 
El número de la sub-interfaz es configurable, pero generalmente está 
asociado para reflejar el número de VLAN. 
Antes de asignar una dirección IP a una sub-interfaz, es necesario 
configurarla para que funcione en una VLAN. Esta tarea se consigue 
mediante el comando encapsulation dotlq [ID_vlan]. 
En el ejemplo, la sub-interfaz ethernet 0/0.3 está asignada a la VLAN3. 


Una vez hecho esto, emplearemos la orden ip address [dirección IP 
[máscara de red] para asignar la dirección IP adecuada. 
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Al momento de estar trabajando con sub-interfaces, no olvidemos 
que debemos habilitar la interfaz principal con el comando no shutdown. 
De este modo, todas las sub-interfaces quedarán activas. Pues de lo 
contrario tanto interfaces como sub-interfaces quedarán inhabilitadas. 


ROl>enable 
ROlgconfigure terminal 

Enter configuration commands, one per líne. End with CNIL/Z. 
RO1 (config) finterface fastetherner 0/0.1 
RO1(config-subif)fencapsulation dotlq 1 native 
RO1(config-subif) tip address 192.168.1.1 255.255.255.0 

ROL (config=subif) texit 

RO1 (config) finterface fa0/0 

ROL (config-1£)$no shutdown 


RO1 (config-1£)$ 
4LINK-S-CHANGED: Interface Fastithernet0/0, changed state to up 


ALINK-S-CHANGED: Interface FastEthernet0/0.1, changed state to up 


-1£)2| 


Figura 17. En la presente imagen se aprecia la configuración 
de la sub-interfaz para una VLAN nativa. 


Debemos saber que el número de la sub- 
ES RECOMENDABLE interfaz (en este caso el número 1 en fa0/0.1) 


HACER COINCIDIR EL solo es significativo a nivel local y no necesita 
coincidir con el ID de la VLAN. Aunque en 


ID DE VLAN CON LA cuestión de mejores prácticas, se recomienda 

SUBINTERFAZ QUE que hagamos coincidir el ID de VLAN con su sub- 
interfaz correspondiente. También tomemos en 

CORRESPONDE consideración que se necesitará una sub-interfaz 


para cada VLAN que deseemos establecer. 

Y Tengamos presente que la dirección IP 
especificada en la configuración de sub-interfaces será la dirección IP 
de la puerta de enlace predeterminada para esa VLAN / subred. Pues 
no olvidemos que las sub-interfaces nos permiten ampliar el router 
para asignar más VLAN que las permitidas por las interfaces físicas. El 


enrutamiento entre VLAN en grandes entornos con muchas VLAN puede 
alojarse mejor si se usa una interfaz física única con sub-interfaces. 
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Replicación con VTP 

Seguramente, en más de una ocasión, como administradores 
de redes quizá nos hemos preguntado ¿existe alguna forma que me 
permita simplificar el proceso de configuración de VLAN en una red 
de datos? Sin duda la pregunta tiene mucho sentido desde el punto 
de vista del esfuerzo que conlleva tener que repetir la configuración 
realizada una y otra vez, hasta completar los dispositivos que nos han 


sido encomendados. 
1841 
Router A 


PC-PT 
PCo1 
= 5 
20502 po Al E 
ln | EN 
con VIP Pco2 
- 2950-24 Ms 
É Switch1 PC-PT 
ad PCO: 
PC4 
PC-PT 
PC5 


Figura 18. La técnica de replicación con VTP 
reduce la necesidad de configuración manual de la red. 


Y desde luego que existe una alternativa para simplificar y 
sincronizar dicho trabajo, se trata de VTP (VLAN Trunking Protocol), 
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el cual es definido como un protocolo de mensajes (diseñado para 
equipos CISCO) usado comúnmente para configurar y administrar 
VLAN en equipos CISCO. Este permite centralizar la administración en 
un dominio de VLAN, simplificando así la necesidad de configurar la 
misma VLAN en el resto de los switches conectados a la red, sobre todo 
si se trata de redes muy grandes. De ahí que muchos administradores 
han adoptado la palabra replicar, haciendo referencia originalmente a 
la idea de realizar una copia automática de la configuración establecida 
en un solo switch y distribuirla para el resto de los equipos. A menudo, 
esta técnica se conoce como replicación con VTP. 
La replicación de configuraciones en 
VLAN se hace gracias a un proceso llamado 


REPLICAR HACE sincronización. Este es definido como una 

REFERENCIA solución mediante la cual todos los switches 
aprenden la nueva configuración, que implica 

A COPIAR LA conocer desde los IDs hasta los nombres de 

CONFIGURACIÓN VLAN. A menudo el switch principal (el que se va 


a configurar para la emisión de mensajes al resto 


DE UN SWITCH de los switches) envía mensajes de datos a otros 


e 


switches (secundarios) que conllevan el proceso 

de réplica de la información. Tanto los switches 
primarios como secundarios tienen definido un Modo de operación 
VTP según el rol que desempeñan en la VLAN. 


Modos VTP 


Debemos considerar que un switch, dentro de un dominio VTP, 
puede tomar uno de tres roles diferentes, los cuales mencionaremos 
y detallaremos a continuación: 


uuvy 


: EL MÉTODO DE RECORTE 


En forma predeterminada, las líneas trunk que han sido creadas transportan el tráfico de todas las VLAN 
existentes. Pues se sabe que algún tráfico innecesario podría inundar los enlaces ocasionando la pérdida 


de efectividad. El pruning VTP es un método que impide que las actualizaciones de VTP se reenvien a 


todos los puertos correspondientes al enlace troncal. 
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+ Modo servidor (server): este se encarga de crear y mantener una 
base de datos de todas las VLAN dadas de alta en la red y de replicar 
toda esa información al resto de los switches. Por defecto un switch 
está definido en modo servidor. 

+ Modo cliente (client): es importante considerar que los switches 
que han sido configurados en modo cliente mantienen toda la 
información de VLAN gracias a los mensajes que son enviados 
desde los switches servidores. Por lo regular, los switches cliente no 
pueden hacer ninguna modificación en las VLAN. 

+ Modo transparente (transparent): tengamos en cuenta que los 
switches configurados en modo transparente son capaces de 
reenviar los avisos VTP aunque no correspondan ni a la versión 
(versión O, 1, 2 y 3, siendo la versión 1 y 2 las configuradas 
en forma predeterminada) que tiene el switch configurado ni al 
dominio en el que esté incluido este switch en modo transparente. 
La información VLAN en los switches que trabajen en este modo 
solo se puede modificar de manera local. 


Modo Servidor 


Modo Cliente Modo Transparente 


OO € El 


Figura 19. Topología en la que se ilustran 
los roles que puede tomar un switch en un dominio VTP. 
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Configuración de VTP 


Para llevar a cabo esta tarea, debemos considerar la versión de VTP 


con la que deseamos trabajar, el modo de opera: 


Ín y un nombre de 


dominio VTP válido. En caso de ser necesario, configuraremos una 


PARA OBTENER 
INFORMACIÓN SOBRE 
ALGÚN COMANDO 
UTILIZAMOS EL 
SIGNO ? 


Switch>enable 


contraseña de acceso. 


Recordemos que si deseamos conocer 


información con respecto a algún comando 
podemos recurrir al signo de interrogación de 
ayuda (?). Para este caso, podemos usar la orden 
que mencionamos a continuación: vtp ?, debemos 
tener en cuenta que esta orden se encargará de 


mostrarnos algunas opciones de configuración 
importantes. Se trata de opciones que son 
comúnmente empleadas para efectuar la gestión 
Ly Q de VTP. Para que dicha orden surta efecto, vale 

recordar que debemos situarnos en el modo de configuración VLAN con 
la ayuda del comando denominado vlan database. 


Switchtvlan database 


% Marning: It ís recommended to configure VLAN from config mode, 
ss VLAN database mode is being deprecated. Please consult user 
documentation for configuring VIP/VLAN in config mode. 


Switch(vlan)$vtp ? 


client 


exver 
transparent 
v2-mode 

Switch (vlan) tvtp 


Ser 


Ser 


device to client mode. 
name of the VIP administrative domain. 
password for the VIP administrative domain 
device to server mode 
device to transparent mode. 
administrative domain to V2 mode. 


Figura 20. Con la orden vtp ? podemos visualizar 
una lista de opciones de configuración VTP. 


En el siguiente Paso a paso, veremos en forma detallada el 
procedimiento que debemos realizar para configurar VTP en un switch 
CISCO en modo servidor. 


>»  www.redusers.com 


ROUTERS Y SWITCHES CISCO 0333 131 


PAP: CONFIGURACIÓN VTP EN SWITCHES CIS 


0 Entre al modo EXEC privilegiado del switch. Luego ingrese al modo de 
configuración de VLAN con la ayuda del comando vlan database. En seguida 
presione la tecla ENTER para iniciar la configuración. 


Switchvenable 
Switchtvlan databi 
Y Marning: lc ía recommended to conf config mode, 
an VLAN database mode is being del 
documentation for configuring VID, 


Switoh(vlan) 4 


02 Una vez dentro del modo de configuración VLAN, habilite la versión con la que 
desea trabajar. En este caso la versión 2; presione la tecla ENTER. 


[switch>enable 

Switchtulan database 

% Marning: lt ís recommended to configure VLAN from config mode, 
as VLAN database mode is being deprecated. E consult user 


documentation for confíguring VID/VLAN ín config mode. 


[Switch (vlan) tvrp v2-mode 
(V2 mode enables. 
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»> 
0 Ahora proceda a habilitar el switch como servidor o server. Ingrese el comando vtp 
server y posteriormente presione la tecla ENTER. Tal como se ha mencionado, el 
switch está previamente configurado en modo server. 


ls Marning: It is recommended to configure VIAN from config mode, 
VLAN database mode ís being deprecated. Please consult user 
documentation for configuring VID/VLAN in config mode. 


[switch (vlan) tvtp v2-mode 
mode enabled 

[switch (vlan) tvtp server 

[Device mode already VIP SERVER. 


0 Proceda ahora a colocar un nombre válido al dominio VTP. Para esto ingrese el 
comando: vtp domain [nombre del dominio VTP], tal y como se aprecia en la 
imagen. Después presione la tecla ENTER. Y finalice con la orden exit. 


Switehvenable 

¡Switchtvlan database 

% Marming: It is recommended to configure VLAN from config mode, 
as VLAN database mode is being deprecated. Please consult usez 
documentation for configuring VIP/VLAN ín config mode 


Switch(vlan) fvep v2-mode 
[vz mode enabled 

¡Switch (vlan) fvrp server 

Device mode already VID SERVER. 
¡Swstch(vlan) fvep domain USERS 

Changing VIP domain name from NULL to USERS 
Switch(vlan) fexic 

[APPLY completed. 

Extráng---- 

¡Swirchs 
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»> 
0 Para verificar que todo se ha llevado a cabo de manera satisfactoria, puede colocar 
el comando show vtp status y posteriormente ENTER. Para hacer alguna 
modificación, basta con ingresar nuevamente los comandos mencionados. 


Switchrenable 

Switchtahow vip status 

VIP Version 

Configuration Revision =0 

Maximum VLANS supported locally : 
25 


Number of existing VLANS 


VIP Traps Generation 
MDS digest 

Configurarion last modified by 0.0.0.0 at 3-1-93 04:28:59 
Local updater 1D is 0.0.0.0 (no valid interface found) 
Switchs 


Al igual que para la configuración de VLAN, existe un modo distinto 
al antes citado para llevar a cabo una operación con VTP. Es necesario 
situarnos en configuración global, y teclear los comandos para 
configurar la versión, el modo de operación y el nombre del dominio 
VTP. Debemos destacar que para configurar un switch en modo cliente, 
debemos seguir el mismo procedimiento, ya sea desde la base de 
datos de VLAN o desde el modo de configuración global. 


uuu 


Sin duda alguna, el rendimiento de una red representa un factor predominante en la productividad de una 
organización. Por ello se han realizado importantes avances en la tecnología y se ha previsto un conjunto 
de métodos que contribuyen al excelente rendimiento de una red. Uno de estos aportes son las VLAN, 
las cuales fueron objeto de estudio del presente capítulo. A través de este, pudimos conocer desde la 
forma de crearlas, hasta de implementarlas, el modo de operar con ellas y de dotarlas de un conjunto de 
interesantes funcionalidades. En capitulos posteriores nos introduciremos en el tema del enrutamiento. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


Defina el término VLAN. 

¿Cuál es el propósito principal de crear una VLAN? 

¿Cuáles son los modos de asignación de puertos para una VLAN? 
Mencione dos herramientas de software para la configurar VLAN dinámicas. 
¿Cuáles son los tipos de VLAN que describe CISCO? 

¿Cuál es el comando para asignar una sub-interfaz a una VLAN? 

¿En qué consiste el método VLAN Trunking Protocol? 


Mencione los modos de operación VTP existentes en un switch CISCO. 


0 0 O 9d a UY nr 


¿Qué comando me permite configurar un switch en modo cliente? 


. 
o 


¿A qué se denomina VTP pruning? 


EJERCICIOS PRÁCTICOS 

1  Diseñe dos VLAN con los siguientes datos: ID_VLAN: 12 y 15, respectivamente. 
NOMBRE: Estudiantes y Docentes, respectivamente. 

2 Configure un enlace troncal para Fa0/1 de un switch con un etiquetado dotlq. 


3 Trace una topología que ilustre los modos VTP y configure uno de los switches 
en modo server, otro en modo client y el último en modo transparent. 


4 Configure el nombre de dominio de un switch cuyo nombre sea: IPN. 


n vuv 
PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorUVredusers.com 
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Enrutamiento 


En este capítulo conoceremos el funcionamiento y la 


OSI 


importancia del proceso de enrutamiento dentro del ámbito 


de las redes CISCO. Veremos la configuración y asignación 


de rutas tanto de forma dinámica como estática en un router. 


Haremos también un recorrido por los protocolos OSPF, EIGRP 


y BGP para la optimización del encaminamiento de información 


residente en las tablas de ruteo de un dispositivo de red. 


y Introducción 
al enrutamientO...ccannnnnonanmmnnes 136 


 Enrutamiento estático. 
Configuración de rutas estáticas .... 138 


v Protocolos de enrutamiento..146 


v Enrutamiento dinámicO......... 147 
Protocolo de información de ruteo. 148 
Introducción a OSPF ..... .153 


Configuración básica de OSPF ...... 
Introducción a EIGRP ... 
Configuración básica de EIGRP.. 


v Protocolo BGP.. 
Configuración básica de BGP.. 


y Resumen. 


v Actividades..... 
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4. ENRUTAMIENTO 


Introducción al enrutamiento 


El enrutamiento es definido como un servicio que nos ofrece 
prácticamente cualquier router o enrutador de red. Este servicio 
consiste en una estructura lógica de rutas que establecen el 
encaminamiento de la información emitida en las redes de datos. 

O bien, lo podemos definir simplemente como un proceso realizado 
por el router para enviar paquetes a la red de destino. 

El repositorio donde se almacena toda información se llama tabla 
de ruteo. Consiste en un espacio del cual se vale el router para 
determinar los puertos de salida que debe utilizar para retransmitir 
un paquete hasta su destino. 


ln : 


Figura 1. Para arrojar las tablas de ruteo desde nuestra 
PC, basta con introducir el comando router print desde la CLI. 


Si deseamos conocer la estructura de una tabla de ruteo, podemos 
hacer una sencilla prueba desde nuestro equipo de cómputo doméstico 
(que se encuentre correctamente conectado a la red). Para ello tenemos 
que abrir el símbolo del sistema de Microsoft Windows (CLI) y 
ejecutar la orden: route print. Notemos que se han desplegado una 
serie de datos, entre los que encontramos: direcciones IP de origen y 
destino, máscaras de red, métricas, etcétera. 
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Debemos tener en cuenta que los routers a menudo aprenden 
todo sobre las redes remotas mediante el uso de rutas estáticas y 
también protocolos de enrutamiento dinámico. Consideremos que 
se trata de dos modos de configuración o tipos de enrutamiento a los 
cuales generalmente recurre el administrador de redes para efectuar la 
correcta gestión de la comunicación entre los diferentes dispositivos 
que se encuentran presentes en una red segmentada. 

La configuración del enrutamiento estático consiste en una 
asignación manual de rutas. En cambio, el enrutamiento dinámico 
consiste en un proceso de configuración de rutas capaz de emplear 
uno o más protocolos (por ejemplo OSPF, EIGRP, BGP, etcétera) 
para efectos de comunicación. Más adelante, en el tema denominado 
Enrutamiento estático y enrutamiento diná: 0, respectivamente, 
analizaremos las caracteristicas, la representación y la forma de 
configuración de las rutas estáticas y dinámicas. 


Determinación de la mejor ruta 


Envío de paquetes 


Recepción 
de paquetes 


Figura 2. El enrutamiento es un proceso realizado 
por el router para el envío de paquetes hacia un destino. 


www.redusers.com 


137 


138 M==23 4. ENRUTAMIENTO 


= Enrutamiento estático 


Las rutas estáticas son habitualmente definidas por el 
administrador de redes corporativas y prácticamente muy empleadas 
en redes de conexión única (portadoras de una sola ruta de entrada y 
de salida). Por lo que de dicho modo se evita la sobrecarga de tráfico 
que generan los protocolos de enrutamiento. Debemos saber, además, 
que este tipo de asignación de rutas nos permite definir de manera 
manual nuestras propias tablas de ruteo. 

Muchos administradores, hoy en día, siguen apostando por la 
configuración de rutas estáticas. La razón de ello quizá sea: la 
seguridad, la optimización de recursos adicionales para la 
configuración, su economía y su facilidad de diagnóstico, aunque 
no son la mejor opción a la hora de trabajar con un esquema topológico 
más complejo. Recordemos que entre más amplia sea nuestra red, 
mayor será el coste en tiempos de su implementación. 


Red 10.1.1.0/24 


És) 192.168.2.1/24 [EL9 192.168.1.1/24 ( 23) e 
un 192.168.2.2/24 Ss 192.168.1.2/24 — 

A B 0 PS 
Red 10.1.2.0/24 


Figura 3. El enrutamiento estático 
es por lo general utilizado en redes de pequeña envergadura. 


Configuración de rutas estáticas 

La dle dl de rutas estáticas se presenta como un proceso 
muy sencillo de realizar; para ello solo debemos partir de una red bien 
configurada, mediante la cual será posible efectuar la comunicación 
entre los equipos de diferentes redes. 

Antes de describir el proceso de enrutamiento estático, 
imaginemos por un momento que se tienen cuatro routers conectados 
en forma de anillo, los cuales representan una red diferente cada uno. 
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Ahora de lo que se trata es de que los cuatro puedan comunicase entre 
sí, ¿cómo podemos hacer posible esta comunicación? 

La respuesta está en elegir algún tipo de enrutamiento válido (tal 
como la configuración de rutas estáticas), pues sin este es evidente 
que existe la posibilidad de comunicación entre routers adyacentes, 
pero jamás entre routers de extremo a extremo. 

Para ilustrar la explicación anterior, analicemos la siguiente 
topología realizada en Packet Tracer, la cual nos servirá de guía para 
comenzar con el proceso de asignación de rutas estáticas. Esto con el 
único fin de conseguir la convivencia entre los diferentes dispositivos 
de red sin importar la ubicación en la que se encuentren. 


192.168.10.0/24 


Figura 4. Topología de cuatro routers lista para 
efectuar el proceso de configuración de rutas estáticas. 


Q ORIENTACIÓN GEOGRÁFICA 


Cualquier red local tiene una posición geográfica inequívoca. De esta manera cada punto de origen ge- 
nera una dirección y distancia hasta el punto de destino. Cada enrutador como parte de la red sabe su 
posición geográfica y conoce los canales a través de los cuales tiene que enrutar hasta el próximo nodo 
regional o continental, según las distancias. 
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Antes de dar inicio, tenemos que considerar, siempre, el tipo y la 
clase de interfaz que estamos utilizando. Hasta ahora sabemos que 
un router puede tener tanto interfaces de tipo serial como ethernet, 
pues recordemos que las primeras por lo regular tienen dos clases de 
conexión: DCE y DTE, las cuales han sido descritas desde el Capítulo 
1 de este libro. Aunque con fines prácticos, vamos a retomar este 
principio para dejar en claro que todo router debe incluir por lo menos 
una interfaz capaz de llevar la sincronización del reloj (clock rate). 

No obstante, los administradores son libres de poder elegir a cuál de 
ambas interfaces será asignado dicho clock y a cuál no. 

Si por alguna razón, necesitamos saber cuál es la interfaz encargada 
de sincronización del equipo, recurramos al comando show controllers 
ejecutado desde el modo de acceso EXEC privilegiado. 


idb at OXS1OB1AC4, driver data 
SCC Registers: 
General [GSMA]=0x2:0x00000000, Protocol-specific [PSMR]=0x8 
Events [SCCE]=0x0000, Mask [SCCMI=0x0000, Status [SCCS]=0x00 
Transmit on Demand [TODR]=0x0, Data Sync [DSR]=0x727E 
Interrupt Registers: 
Config [CICR]=0x00367F80, Pending [CIPR]=0x0000C000 
Mask  [CIMRI=0x00200000, In-srw [CISR]=0x00000000 
Command register [CR]=0x580 
Port A [PADIRI=0x1030, [PAPAR]=0XxFFFF 

[PAODR]=0x0010, [PADAT]=0XCBFF 
Port B [PBDIR]=0x09C0F, [PBPAR]=0x08002 

[PBODR]=0x00000, [PBDAT]=0x3FFFD 
Port C [PCDIR]=0x00C, [PCPAR]=0x200 

[PCSO]J=0xC20,  [PCDAT]=0xDF2, [PCINT]=0x00F 
Receive Ring 


tructure at OxS10B4ACO 


Figura 5. Para verificar la clase de interfaz que posee 
un router basta con utilizar el comando show controllers. 


El proceso de configuración de rutas estáticas se hace con la ayuda 
de la orden ip route, el cual es a menudo muy sencillo de utilizar. 
Gracias a esta, es posible referir las rutas por las que deseamos enviar 
los paquetes de información hacia un equipo destino. 

La sintaxis de dicho comando es: ip route [IP_red] [máscara de red] 
[interfaz de salida/IP del siguiente salto]. Aunque actualmente podemos 
utilizar parámetros adicionales en el comando para dotar de mayor 
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versatilidad dicha configuración (parámetro distancia administrativa y 
permanente, respectivamente). Para que esta orden surta efecto, debemos 
estar posicionados en el modo de configuración global de nuestro 
router. En el siguiente Paso a paso comenzamos con la descripción 
detallada del proceso de configuración de rutas estáticas: 


PAP: PROCESO DE CONFIGURACIÓN DE RUTAS ESTÁTICAS O 


En primera instancia, será necesario que ingrese al modo de configuración global 

0 1 del primer router a configurar (identificado como R1 en la topología). 
Posteriormente, coloque la orden ip route y en seguida la dirección de la 
primera red a la que desea llegar (extremo izquierdo), su máscara de red y la 
interfaz de salida de R1. Presione la tecla ENTER. 


Press RETURN to ger started. 


R1>enable 
Rifconfigure terminal 

Enter configuration commands, one per líne. End with CNTL/Z. 
[1 (config) tip route 192.168.11.0 255.285.285.0 serial0/0/0 
|R1 (config) 8 


(Ny CONVERGENCIA Y UNIFORMIDAD 


La convergencia es un fenómeno que ocurre cuando las tablas de ruteo se encuentran en un estado de 
uniformidad. Por lo tanto, se dice que la red cae en estado de convergencia, cuando todos los routers 
poseen información completa y precisa sobre la red. RIP e IGRP tienen convergencia lenta, en tanto que 
EIGRP y OSPF poseen convergencia más rápida. 
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» 
0 Ahora, proceda a hacer lo mismo para la red del otro extremo (derecho). 
Posteriormente presione ENTER. En seguida la orden exit dos veces. Para guardar la 
configuración establecida teclee el comando wr. Finalice presionando la tecla ENTER. 


Alo 
Rlgconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Al(config)$ip route 192.168.11.0 265.255.255-0 seríal0/0/0 
Ri (config) fp route 192.168.12.0 255.255.255.0 sertal0/0/1 
RL (config) textr 

ae 

USYS-5-CONFIG_I: Configured fzom console by console 


Algar 
Building configuration. 
10K] 


0 Realice la misma configuración para el router identificado como R3. Coloque la 
orden ip route y la dirección de la primera red a la que desea llegar, su máscara 
de red y la interfaz de salida de R3. 


Press RETURN to get started. 


R2senable 
R2tconfigure terminal 

Enter configuration commands, cne per line. End with CNIL/Z. 
R2(config)$ip route 192.168.10.0 255.255.265.0 seria10/0/1 
|a2 (consi) el 
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0 


En este punto deberá configurar la red de la misma forma que en el Paso 2, luego 
presione la tecla ENTER, posteriormente la orden exit dos veces. Con el comando 
wr puede guardar la configuración. 


a2>enable 
zeconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
[AZ (config) ip route 152.168.10.0 266.255.255-0 serial0/0/1 
[AZ (confíg)£ip route 192.168.13.0 255.255.255.0 sertal0/0/0 
[az (config) texte 

azs 

[*sYS-S-CONFIG_I: Configured from console by console 


azewz 
Buslding configuration... 
LORI 


Verifique que la configuración ha surtido efecto tanto en el router R1 como en el 
R3 (esta verificación la puede hacer desde el router actual). Para ello coloque la 
orden show ip route y presione la tecla ENTER. 


0 


A - RIP, M- mobál 

muernal, O - OSPF, TA - OSPF £nt 
enel espe l, M2 — OBDF MEGA 
EZ - OS9F external 


10.0/24 
10/24 


130/24 


Sería10/0/0 
Serta10/0/1 
Serta10/0/0 
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»> 
0 Finalice haciendo ping desde R1 a R3. La sintaxis es: ping [dirección IP] 
más ENTER. Donde dirección IP es el ID de la red con la que queremos 
comunicarnos. 


Eypn mocapa sequence so aber 
[Serding 5, 100-byte IOMP Ichon to 193.168.11.0, támour £a 1 seconds 
1) 

[Success zase ís 100 percent (5/5), reund-ecip min/avg/mex = 3/4/€ ua 


azsping 192.163.12.0 


Type escape sequence to abort. 
ng 5, 100-byte ICMP Echos to 197.162.12.0, tímecut is 2 seconds 


xase ía 100 perceat (5/5), reundetrip mn/avg/max = 4/8/7 ns 


0 Ahora, realice la prueba de conectividad con el comando ping esta vez de R3 a R1. 
Presione ENTER por cada configuración efectuada. Repita todo el procedimiento 
para todos los routers que contiene la topología. 


harenacze 
lh2sping 152.168.10.0 


[Iype escape sequence to atort 
[sending 5, 100-byte ZCMP Echos to 192.168.10.0, tímecut ía 2 seconds. 
11 

[success zate 1e 100 percent (5/5), zeund-trip 2tn/av3/max = 3/4/6 ma 


R2sping 192.162.13.0 
[Type escape sequence 1o aborz. 

[sending 5, 100-byte 3CMP Echos to 192.168.13.0, timecut ía 2 seconds. 
rre 

[success zate ía 100 percent (8/5), zound-trip min/avz/max = 4/4/5 ma 
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Como pudimos notar, anteriormente solo 
existía comunicación entre los routers 
adyacentes. Con la adecuada configuración TOP 
de un enrutamiento (en este caso estático), 
conseguiremos la comunicación no solo entre EF 
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EN CUALQUIER 
OLOGÍA, DEBEMOS 
ECTUAR LA MISMA 


equipos adyacentes, sino de extremo a extremo. CONFIGURACIÓN EN 


Para concluir con cualquier topología, por muy 
grande que esta sea, habrá que efectuar siempre 
la misma configuración para cada router. Aunque 
como ya se mencionó, si somos congruentes, esta 
tarea puede ser muy agobiante en un futuro cuando comenc: 


CADA ROUTER 


trabajar con redes más grandes; es por ello que se han implementado 


algunos protocolos de enrutamiento dinámico, los cuales va 


mos a 


analizar en el tema correspondiente (Enrutamiento dinámico). 


Router>enable 
Routerfconfigure terminal 


Enter configuration commands, one per line. End with CNTL/Z. 


Router (config) $ip route 0.0.0.0 0.0.0.0 
Router (config) $ip route 0.0.0.0 0.0.0.0 
Router (config) texit 

Routert 

ASYS-5-CONFIG_I: Configured from console by console 


Routertwr 
Building configuration... 
[OK] 


Figura 6. En esta imagen, se muestra la 
configuración de una ruta estática por defecto. 


Actualmente, contamos con un tipo especial de rutas estáticas: las 
rutas por defecto. Estas son a menudo utilizadas por los administradores 


como recurso para poder enviar tráfico a destinos que no cont 


cuerden 


con las tablas de enrutamiento de los dispositivos que integran la red. 


Las rutas por defecto, al igual que las rutas estáticas 
convencionales, se configuran mediante el comando ip route 


WWW. 


en el 
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modo de configuración global. Su sintaxis es: 


LoS PROTOCOLOS ip route 0.0.0.0 0.0.0.0 [interfaz de salida] [distancia 
DE ENRUTAMIENTO administrativa]. 

a Las rutas estáticas nos proporcionan una 
DINÁMICO AYUDAN A serie de características interesantes que para 


ENFRENTAR CIERTOS determinados escenarios pueden ser nuestra 


primera opción. Por lo general, estas pueden 


PROBLEMAS llegar a presentar graves limitaciones, como: 


et 


la poca escalabilidad y falta de adaptabilidad a 
fallas, sobre todo, como ya se ha mencionado, 
durante el proceso de crecimiento de la red. 

Una alternativa para resolver algunos de los problemas que presenta 
el enrutamiento estático es el uso y la aplicación de los protocolos de 
enrutamiento dinámico. En el siguiente tema conoceremos algunas 
características y diferencias con respecto a las rutas estáticas. 


= Protocolos de enrutamiento 


Los protocolos de enrutamiento son una manera de compartir 
rutas de forma dinámica; tienen como fin facilitar el trabajo del 
administrador de redes, pues ya no se ve en la necesidad de configurar 
las rutas estáticas en cada router, además de que si ocurren cambios en 
la topología estos también cambiarán sus tablas de enrutamiento. 

Los protocolos de enrutamiento, generalmente, se pueden 
clasificar en grupos según sus características: 


+ Estado de enlace: son aquellos que conocen la red completa, es 
decir, conocen la topología y con base a ello, toman sus decisiones. 
+ Vector distancia: son protocolos capaces de tomar decisiones 
de rutas con base al uso de una métrica que implica el uso de 
algoritmos o fórmulas, como veremos más adelante cuando 
comencemos a configurar un protocolo llamado OSPF. 


Con fines prácticos y para solventar la duda de muchos de nosotros 


vamos a definir la palabra métrica: este término a menudo es definido 
como todo aquel valor que toman los diferentes protocolos de 
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enrutamiento para poder determinar la mejor ruta hacia una red de 
destino. Hoy en día es muy común encontrarnos con routers que tengan 
más de un único camino. Por lo que ante esta situación es recomendable 
el uso de algún método para determinar el camino más conveniente. 


Protocolo de enrutamiento 


Protocolo de 
gateway exterior 


Figura 7. Los protocolos de enrutamiento 
se clasifican en grupos según sus características. 


= Enrutamiento dinámico 


Debemos considerar que las rutas dinámicas, a diferencia de 
las rutas estáticas, se encargan de hacer uso de protocolos de red 
especiales que se adaptan de manera automática para facilitar el 
intercambio de información entre los equipos que se encuentran 
conectados a la red. 

Consideremos que el enrutamiento dinámico generalmente se aplica 
en redes de gran tamaño, por lo que podemos decir que se trata de un 
método escalable y también adaptable, además de esto, se encarga de 
proporcionarnos la opción de recuperación frente a fallas. 
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a 


El Router utiliza un protocolo 
de enrutamiento 
para transmitir la informacion 


ES S 


Figura 8. El router puede auxiliarse de algún protocolo 
de enrutamiento para transmitir la información. 


En el ámbito del enrutamiento dinámico, vamos a conocer una 
serie de protocolos interesantes para el encaminamiento de la 
información, entre los cuales tenemos el protocolo de información 
de enrutamiento, del cual comenzaremos a platicar en la siguiente 
sección. Antes de comenzar a abordar dicho tema, recordemos la 
definición de protocolo: se trata de un estándar de comunicación 
existente en una red, es decir, el lenguaje mediante el cual se entienden 
las computadoras para poder comunicarse. 


Protocolo de información de ruteo 

Uno de los protocolos más antiguos que se han utilizado en el 
ámbito del enrutamiento dinámico es RIP (Routing information protocol 
- Protocolo de información de enrutamiento). Se trata de un protocolo 
de vector distancia que utiliza la cuenta de saltos del router como 
métrica. 

A menudo, los routers tienen la capacidad de determinar la 
mejor ruta con base al ancho de banda definido, aunque esto 
depende directamente del protocolo de enrutamiento empleado para 
intercambiar la información. Pues debemos saber que cada protocolo 
puede emplear una métrica diferente. 

La versión más actual del protocolo RIP es la versión 2, la cual se 
caracteriza por integrar un nivel de seguridad superior a su antecesor 
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(versión 1: la cual es ejecutada por defecto 


en el router), admite además CIDR (classless EL TOTAL MÁXIMO 
interdomain routing), VLSM (variable length DE SALTOS QUE 
subnet mask) y un resumen de rutas asignadas. 

Otro dato más que debemos conocer sobre ADMITE RIP ES DE 
RIP es que el total máximo de saltos es de 15. En 15, SOBRE ESO ES 
caso de exceder este valor, se considera un rango 
inalcanzable. El protocolo RIP, además, hace uso INALCANZABLE 


UDP y se encuentra asociado al puerto 520. 


Actualización RIP , y 


ES 
1841 


e RIP 
PS RIP 


E Actualización RIP. Actualización RIP e 


Figura 9. RIP es el nombre de un protocolo que 
nos permite el enrutamiento de la información en una red. 


Configuración de RIP 

Para comenzar con la configuración de rutas dinámicas mediante el 
empleo de RIP vamos a recurrir al comando router rip, y a algunas otras 
órdenes adicionales descritas a continuación: 


Q LA DISTANCIA ADMINISTRATIVA 


En ámbitos del enrutamiento en redes, existe un término conocido como distancia administrativa. Esta 
se define como una medida usada por los routers CISCO para seleccionar la mejor ruta cuando hay más 
de dos rutas distintas hacia el mismo destino para dos protocolos de enrutamiento. La distancia adminis- 
trativa para RIP es de 110, mientras que para OSPF es de 120. 
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* El comando denominado version, se encarga de especificar el número 


LA CONFIGURACIÓN 


DE RUTAS 


DINÁMICAS PUEDE 


de versión que vamos a manejar. 

El comando network, se encarga de añadir una o más redes a nuestro 
protocolo RIP. Y finalmente, la orden distance añade una distancia 
administrativa dentro del rango 1-255. Por defecto en RIP es 120. 


Router>enable 

Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) $router rip 

Router (config-router) fversion 2 

Router (config-router) $network 192.168.1.0 

Router (config-router) fnetwork 192.168.3.0 

Router (config-router) $distance 100 

Router (config-router) texit 

Router (config) texit 

Routers 

$SYS-! 


CONFIG_I: Configured from console by console 


Routertwr 
Building configuration... 
[OK] 


Figura 10. En la presente imagen se muestra 
un ejemplo de configuración de rutas dinámicas con RIP. 


A continuación, vamos a describir el proceso de 
configuración de rutas dinámicas con el protocolo 
RIP. Para esto, nos apoyaremos en una topología 
de red establecida. Analicemos cada uno de los 
nodos y su respectiva dirección IP. 


EFECTUARSE CON EL Para la explicación del ejercicio, asumamos que 


PROTOCOLO RIP 


existe ya una previa configuración de interfaces. 
Y partamos de la prueba de funcionamiento 
verificando la conexión con el comando ping. 
Notemos que al intentar hacer ping con cualquier 


ho ko router adyacente, la comunicación será exitosa. Pero si deseamos hacer 
una prueba de conectividad con otro equipo de extremo a extremo, 
jamás conseguiremos la comunicación. Veamos que sucede algo similar 
a lo expuesto en la topología de enrutamiento estático, pues la razón 
de ello se debe a la ausencia de un enrutamiento adecuado. 
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192.168.20.0/24 


1 a 1 
1841 192.168.40.0/24 744 
RD 


E 
1841 192.168.50.0/24 
FA RTE 


Figura 11. Topología de configuración 
de rutas dinámicas con el protocolo RIP. 


La solución a este problema está en utilizar un protocolo de 
enrutamiento como RIP para efectuar el proceso de configuración 
de rutas dinámicas. Para comenzar dicho procedimiento, vamos a 
analizar el siguiente Paso a paso: 


PAP: PROCESO DE CONFIGURACIÓN DE RUTAS DINÁMICAS 


0 Entre a la consola del dispositivo, intente ingresar la secuencia de comandos para las 
rutas dinámicas: router rip más ENTER. Coloque la versión, en este caso la v2. 


Ri>enable 
Rigconfígure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
[Ri (config)frouter rip 

[R1 (config-router) fversion 2 
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0 Ahora, trate de colocar la dirección IP de las redes a la que se encuentran 
conectadas las interfaces del router que ha comenzado a configurar. Para este caso 
se trata de la IP 192.168.10.0 y 192.168.50.0. Anteponga network. 


assenanze 
Rrgcontigure rerminez 

Enter configurerion comands, one per line. End with CNTL/Z 
2 (contig)srourer sip 

21 (contig-router) fversion 2 

ax (config-rourez) tnerwork 192.168.10.0 

az (config-rourez) fnervork 192.168.50.0 

1 (config-rourer) texte 

lx (contig) sexi] 

ars 

NSYS-S-CONFIC_1- Configured from console by console 


Altur 
Buslding configurarion 
7] 


0 Si efectúa este proceso en los routers faltantes, usted podrá comprobar la 
comunicación establecida en cada uno de los equipos que integran la topología. 
Para ello realice la prueba de conectividad con el comando ping en cada router. 


Aigping 197-108-10-7 


Iype escape sequence to abort 
[ending 5, 100-byte ICMP Echos to 192.168.10.2, tímecut is 2 seconda: 
ATA 

[Success rate ís 100 percent (5/5), round-"rip min/avg/max = 3/4/5 me 


argping 192-168.20.2 


Type escape sequence to abort. 
[sending 5, 100-byze ICMP Echos to 192.168.20.2, timecur is 2 seconds: 
me 

success za: 


ía 100 percent (5/5), round-trip mín/avg/mex = 6/8/11 ms 
Algping 192-168.30.2 
Type escape sequence to abort. 


sending 5, 100-byte ICMP Echos to 192.162.30.2, támecut ie 2 seconde: 


ía 100 percent (5/5), round-trip mín/avg/max = 8/9/13 ma 
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0 Una vez probada la conectividad, intente visualizar mediante el comando show la 
configuración antes realizada. A menudo puede hacer uso del comando show ¡p 
route rip para cada router. 


-16.0.0/24 da subnerted, 2 subners 
168.20.0/24 (120/1] via 192.168.10.2, 00:00:27, Sertal0/0/0 
-168.30.0/24 [120/2] vía 192.168.50.1, 00:00:22, Seria10/0/1 

[220/2] via 192.168.10.2, 00:00:27, Seria10/0/0 
168.40.0/24 (120/11 via 192.168.60.1, 00:00:22, Serial0/0/1 


Al terminar de efectuar la configuración anterior, notemos que 
ahora ya existe una comunicación de extremo a extremo. Para verificar 
la configuración realizada no olvidemos utilizar el comando show. 

A menudo podemos usar show ip protocols. 

Actualmente RIP nos ofrece muchas cualidades con respecto al 
enrutamiento estático, aunque no es el protocolo más moderno, 
ni el más utilizado desde que aparecieron otro tipo de protocolos. 

En el siguiente tema, abordaremos otros protocolos de renombre 
actualmente utilizados. 


Introducción a OSPF 


OSPF (Open Shortest Path First) es un protocolo de enrutamiento por 
estado de enlace. Su propósito se centra en el cálculo de la ruta más 
corta. Habitualmente usa el menor costo como medida de métrica. 

La fórmula de la métrica es: (10'8/ BandWidth, donde BandWidth es el 
ancho de banda expresado en bps. 
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OSPF construye además una base de datos 
OSPF CONSTRUYE enlace-estado (link-state database, LSDB) 
UNA BASE DE DATOS idéntica en todos los enrutadores de una zona 


(que significa que OSPF trabaja con zonas o áreas). 
ENLACE-ESTADO 


EN TODOS LOS 
ENRUTADORES 


Muchos administradores han catalogado a OSPF 
como un protocolo más flexible en comparación 
con otros como IGRP y RIP. 

OSPF soporta VILSM, por lo que lo convierte en 
un protocolo classless y nos permite, además, 
Z q sumar el costo que le den las rutas. 

Para poder decidir dichas rutas, OSPF utiliza un algoritmo con el 


nombre de DIJKTRA o simplemente SPF. 


Red 
10,0.0.0 


Z Costo = 1 


Red 
192,168,33,0 


Costo = 1 


Costo = 1 


Red 
192.168.157.0 


Figura 12. El costo en OSPF depende 
del ancho de banda y no del número de saltos. 


El protocolo OSPF se caracteriza también por utilizar dos 
direcciones para comunicarse entre los routers: la IP de multidifusión 
224.0.0.5 y la 224.0.0.6, mediante el cual un DR (router designado) se 
comunica con un BDR (corresponde a un router designado de reserva) 
a través de los denominados paquetes Hello. 

El router que funciona como DR, por lo general, lleva el valor de 
prioridad más alto (ya que es el que ejecuta las tareas de envío y 
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sincronización), el cual debe mantener una relación de adyacencia con 
el equipo BDR. Este último se encarga de representar el router suplente, 
el cual entrará en acción en caso de que exista un fallo en el router 
designado o que funciona como principal. 

Recordemos, siempre, que tanto en entornos conocidos como 
multiacceso, como en entornos ethernet, debe elegirse un router DR 
y un BDR para fines de representación de la red. Pues este proceso no 
tiene efectos en redes OSPF punto a punto. 


R1 (DR) 


R2 (BDR) 


Figura 13. Para el proceso de configuración 
OSPF se debe elegir entre un DR y un BDR. 


Para efectuar la administración de selección del DR y el BDR 
participante en el dominio OSPF, necesitamos realizar una 
configuración especial, la cual exige que presentemos un rango de 
prioridad, siendo en forma predeterminada 1, hasta 65535. 


¡Ny PROTOCOLOS CON CLASE 


Los protocolos de enrutamiento con clase no envían información de la máscara de subred en las actua- 
lizaciones de enrutamiento. Los primeros protocolos de enrutamiento como RIP fueron con clase, pues 
en aquel momento, las IP se asignaban en función de las clases de IP, por lo que no era necesario que un 
protocolo incluyera una máscara de subred. 
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2801>enable 
2801fconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
2801(config)finterface fastetherner 0/0 

2801(config-1£)$ip osp£ priority 1 

2801 (config-1£)fexit 

2801 (config) fexit 

28018 

aSYS-S-CONFIG_I: Configured from console by console 


Figura 14. Proceso de administración de la 
selección del DR y el BDR en un dominio OSPF. 


Para verificar desde la consola de un router si este ha sido configurado 
como designado o de reserva (y su configuración IP), podemos recurrir 
a la secuencia de comandos siguiente: show ip ospf neighbor detail. No 
olvidemos efectuarlo desde el modo de acceso EXEC privilegiado. 


2801>enable 

28018Sh ip ospf neighbor detail 

Meighbor 192.168-100.2, interface address 192.168.100.2 
In the area O vía interface FastEthernet0/0 
Neighbor priority ís 1, State is FULL, 6 


ate changes 


Options is 0x00 
Dead timer due ín 00:00:32 

Neíghbor is up for 00:03:17 

Index 1/1, rerransmíssion queue length 0, number of rerransmission 0 
First 0x0(0)/0x0(0) Mext 0x0(0)/0x0(0) 

Last retransmission scan length is 0, maximum is 0 

Last retransmission scan time ís 0 msec, maximum is 0 msec 


Figura 15. Modo de verificar el router 
configurado como DR y BDR, respectivamente. 
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Configuración básica de OSPF 

El enrutamiento por OSPF persigue un proceso de configuración 
en una sola área o en múltiples áreas. La diferencia entre ambos 
ámbitos se centra básicamente en el número de áreas que puede 
alcanzar. Tengamos en cuenta que en la configuración de OSPF de 
múltiples áreas define tres tipos de routers: router interno, router 
backbone y router fronterizo (ABR). 

Para efectuar la configuración básica del protocolo OSPF, debemos 
utilizar la siguiente secuencia de órdenes: 

Router ospf [número de proceso], en seguida, network [dirección IP- 
Wilcard] área [número]. 

Consideremos que la wilcard no es más que 


la inversa de la máscara de red. La máscara LA WILCARD O 
comodín, como también se conoce, es a menudo MÁSCARA COMODÍN 
empleada por el enrutamiento OSPF con el fin 
de especificar la red o subred que se desea ES LA INVERSA 
publicar. Por ejemplo, la wilcard de la máscara DE LA MÁSCARA 
255.255.255.0 es 0.0.0.255. 

Resulta importante decir que podemos utilizar DE RED 


comandos adicionales como: ip ospf priority 


[número], bandwidth [kbps], ip ospf cost [número]. y e 


R4>enable 
Ratconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
R4(config)frouter ospf 1 

R4 (config-router)fnetwork 192. 
R4 (config-router)fnetmork 192. 
R4 (config-router) fnetmork 192. 
RA (config-router)tdo wz 
Building configuration... 

[OK] 

R4 (config-router)$ 


.255 area 0 
-0.255 area 0 
255 area 0 


Figura 16. En la presente imagen, se 
puede apreciar la configuración básica de OSPF. 


www.redusers.com « 


158 MES 4. ENRUTAMIENTO 


Para demostrar el funcionamiento del protocolo 


USAMOS SHOW OSPF, podemos basar la nueva configuración en 
IP ROUTE OSPF una de las topologías antes realizadas. Para ello, 
omitamos el enrutamiento estático efectuado 
PARA VERIFICAR con ip route y route ospf router rip del tradicional 
EL ENRUTAMIENTO enrutamiento dinámico. En su lugar, coloquemos la 
A secuencia de comandos de router ospf. 
DINÁMICO Al finalizar podremos notar que dicho ejercicio 


ofrece prácticamente el mismo resultado. 
hy E Para verificar que la tarea de enrutamiento 
dinámico por medio del protocolo OSPF ha surtido efecto, 
recomendamos el uso del comando show ip route ospf. 


R3>enable 

R3fshow ip route ospf 

o 192.168.10.0 [110/128] vía 192.168.20.1, Serial0/0/1 

O 192.168.40.0 [110/128] via 192.168.30.2, 00:42:39, Serial0/0/0 

O 192.168.50.0 [110/192] via 192.168.20.1, 00:40:47, Serial0/0/1 
[110/192] via 192.168.30.2, 00:40:47, Serial0/0/0 


a3+ 


Figura 17. En la presente imagen se muestra 
la forma de verificar el enrutamiento por medio de OSPF. 


¡Ny ÁREAS OSPF 


El protocolo RIP es un protocolo de una sola área, lo que significa que a medida que la red crece, el núme- 
ro de rutas notificadas crece al igual que los tiempos de propagación y convergencia. En redes grandes, 
es deseable limitar el alcance de las notificaciones dividiendo la red en múltiples áreas. Normalmente, las 
redes OSPF se diseñan utilizando múltiples áreas. 
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Al trabajar con OSPF, nos encontraremos con una gran variedad de 


comandos, tanto de ejecución como de verificación de la información. 


No todos han sido empleados en los ejemplos anteriores; sin embargo, 
pueden ser de gran utilidad al momento de trabajar con el proceso de 


configuración de rutas dinámicas. Veamos la siguiente tabla: 


TABLA 1: COMANDOS AUXILIARES EN LA CONFIGURACIÓN OSPF 


y COMANDO 


y FUNCIÓN 


interface loopback [número] 


bandwidth 


ip ospf cost [número] 


ip ospf authentication-key [password] 


ip ospf message-digest-key [número] md5 


[tipo de encriptación] 


show ip ospf 


show ip ospf interface 


show ip ospf neighbor detail 


show ip protocols 


show ip route 


Encargado de crear una interfaz virtual para definir el ID 
de router. 

Expresa el ancho de banda para la interfaz, que luego 
será utilizado para el cálculo del coste OSPF. 

Expresa el modo de asignar un valor de coste. Su rango 
es de 1 -65535. 


Establece un password de autenticación en texto plano. 


Se encarga de establecer niveles de encriptación a las 
contraseñas asignadas. 

Muestra la configuración efectuada de los procesos 
osPF. 

Muestra la configuración efectuada de las interfaces 
inmersas en el proceso de configuración OSPF. 

Muestra la información de routers vecinos. Incluyendo los 
que han sido elegidos DR o BDR. 

Muestra la información correspondiente a los protocolos 
de enrutamiento. 

Se encarga de mostrar la tabla de ruteo (rutas) en el 


dispositivo. 


_  ____ oe ne rrhh Q nio 
Tabla 1. Comandos de configuración y verificación OSPF. 


Introducción a EIGRP 


Dentro del gran rubro del enrutamiento, tenemos en especial 


un protocolo capaz de combinar las ventajas que nos aportan los 
protocolos de estado de enlace con los de vector distancia. 
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Este protocolo se trata de EIGRP (Enhanced 
EL PROTOCOLO Interior Gateway Routing Protocol - Protocolo de 
EIGRP DERIVA enrutamiento de gateway mejorado), el cual deriva 
del nativo protocolo de CISCO: IGRP. 


DEL PROTOCOLO Por supuesto que EIGRP incorpora 

NATIVO DE características más actuales en comparación 
con su antecesor. Existe un cambio con respecto 

CISCO IGRP a su métrica, manejo de VLSM y manejo de 


rutas. EIGRP se encarga, incluso, de publicar la 
ho E información de la tabla de ruteo solo a los routers 
vecinos. Por tanto, este protocolo mantiene una tabla de topología, una 
tabla de ruteo y una tabla de vecinos. 
La métrica usada por este protocolo está conformada por parámetros 
y factores que permiten encontrar la mejor ruta. Entre ellos cinco 


constantes inmersas en la fórmula que nos va a permitir determinar la 
mejor ruta en una red. Dichas constantes se definen a continuación: 


+ Kl=bandwidth: expresa el valor mínimo del ancho de banda (kbps) 
configurado en la interfaz. Exige el uso del comando bandwidth. 

e K2=rely: se define como fiabilidad entre el origen y el destino. 
Define lo confiable que puede ser la interfaz en el rango de 1 a 255. 

e K3= dly: expresa la sumatoria de todos los retardos entre un router 
de origen y el destino (microsegundos). 

e K4= load: expresa la carga de tráfico entre el origen y el destino. 

+ K5=MTU: es la máxima unidad de transmisión residente en rutas 
EIGRP, la cual generalmente no se utiliza. 


Los valores por defecto para cada constante son los siguientes: 
Kl=1, K2=0, K3=1, K4=0, K5=0. 


¿QUÉ ES LA SUMARIZACIÓN? 


Sumarización es la transliteración de la palabra summarization, que originalmente se debería decir 
resumen de rutas. Consiste en una técnica usada por los routers/protocolo de enrutamiento que envía 
actualizaciones de enrutamiento. En esta actualización, la red se encarga de representar la conectividad 


múltiple con redes que tienen un prefijo común. 
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Debemos saber que la ruta que posea la 


métrica más baja será considerada como la ruta LA RUTA QUE 
más óptima. Veamos la fórmula completa para POSEE LA MÉTRICA 
el cálculo de la métrica, donde participan las " 

variables antes expuestas. MAS BAJA ES 


CONSIDERADA 
Métrica = 256 * [(K1*10**7/BW + K2 * BW/256 


- Load + K3* (SUM DLY/10))* K5/K4*Rely] COMO ÓPTIMA 


Dadas las conversiones para el cálculo de la 
métrica (aplicando los valores de cada constante), queda una fórmula 


más compacta, la cual usaremos de hoy en adelante. 


Métrica = 256 «| 10, 2DLY 
BW 10 


Figura 18. Fórmula para el cálculo 
de la métrica de los protocolos EIGRP. 


Para entender mejor lo antes expuesto, vamos a colocar un ejemplo. 

Veamos la siguiente imagen, donde tenemos seis routers conectados 
entre sí, y deseamos conocer la mejor ruta. Para tal efecto, debemos 
sustituir los valores que han sido expuestos en la presente topología 
sobre la fórmula anteriormente planteada. 

Imaginemos que se desea llegar del router RA al router RE (red 
origen y destino, respectivamente). Para ello, es necesario determinar 
en primera instancia el ancho de banda (BW) de cada enlace. 


"114 
ULNERABILIDAD EN BGP 


Las vulnerabilidades en el protocolo BGP no son novedosas. El caso más reciente relacionado con 
esto fue la caída de Youtube, el cual despareció del mapa durante unas horas en todo el mundo, tras la 
introducción de instrucciones erróneas en el protocolo BGP, durante durante el intento por evitar que los 
usuarios accedieran a un video sobre caricaturas de Mahoma. 
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El recorrido inicial implica pasar del router RA, 
EL PRIMER EXTREMO al RB, RC y RD por un extremo. Lo mismo sucede 
CUENTA CON UN para el extremo opuesto: del router RA, pasa al RF, 
pa RE y RD. El primer extremo cuenta con un mínimo 
MÍNIMO DE 512 KBPS ancho de banda de 512 kpbs, en tanto que para el 


DE ANCHO extremo contrario contamos con los 256 kbps. 
En este sentido, imaginemos que el delay 
DE BANDA correspondiente es de 2000 microsegundos base 


para efectuar la sumatoria (SUM). 


Al E 


1024 kbps 


2048 kbps 


Métrica: 10,153,600 


Figura 19. Topología de ejemplo para el cálculo de la métrica utilizada para 
efectos de enrutamiento por EIGRP. 


El cálculo de la métrica por RA, RB, RC y RD es el siguiente: 
Métrica = 256 * (10**7/512 + 2000 + 2000 + 2000/10)=5, 153, 600 


El cálculo de la métrica por RA, RF, RE y RD es el siguiente: 
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Métrica = 256 * (10**7/256 + 2000 + 2000 + 


2000/10)=10, 153, 600 EN EIGRP 
LA MÉTRICA 
Si seguimos el principio establecido por EIGRP Ñ 
para obtener la mejor ruta (la métrica más baja MAS BAJA ES 
será considerada la ruta más óptima), resulta CONSIDERADA LA 
obvio que la ruta más conveniente es la trazada Le 
en el extremo superior (RA, RB, RC y RD). RUTA MÁS OPTIMA 


Configuración básica de EIGRP y] 


Para efectuar la configuración básica de EIGRP, es necesario la 
activación de dicho protocolo, su AS (Autonomous System - Sistema 
autónomo) y sus respectivas interfaces de conexión. Para activar 
dicho protocolo empleamos el comando router eigrp [número de sistema 
autónomo- 1 a 65535] y en seguida la orden network [IP de red]. 

El comando network puede incluso emplear una máscara comodín 
o wilcard para individualizar una interfaz, quedando como: 

network [IP de red][wilcard]. 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config)finterface serial 0/0 

Router (config-1£)fip address 172.17.0.1 255.255.255.0 

Router (config-1£)finterface serial 1/0 

Router (config-1£)$ip address 172.17.20.1 255.255.255.0 
Router (config-1£)fexit 

Router (config)frouter eigrp 200 

Router (config-router) fnetwork 172.17.0.1 0.0.0.0 

Router (config-router) $ 


Figura 20. Aquí se muestra la configuración básica del protocolo EIGRP. 


La configuración de EIGRP a menudo exige el uso de comandos 
adicionales, algunos se describen en la siguiente tabla: 
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TABLA 2: COMANDOS AUXILIARES EN LA CONFIGURACIÓN EIGRP 


y COMANDO y FUNCIÓN 


Tabla 2. Comandos de configuración y verificación EIGRP. 


Recordemos que es necesario efectuar la verificación de la 
configuración EIGRP que hemos realizado, para efectuar esta tarea 
podemos ayudarnos del comando show, tal y como se muestra en la 
Tabla que presentamos anteriormente. 

En este sentido es importante mencionar que no debemos olvidar 
tampoco emplear algún modo de autenticación válido para EIGRP. 


Figura 21. En la presente imagen, se muestra 
la forma de verificar la configuración EIGRP previamente efectuada. 
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Protocolo BGP 


BGP (Border Gateway Protocol) es el protocolo que utilizan los 
grandes nodos de internet para comunicarse entre sí y transferir una 
gran cantidad de información entre dos puntos de la red. Tengamos en 
cuenta que su misión se centra en encontrar el camino más eficiente 
entre los nodos para propiciar que se establezca 
una correcta circulación de la información entre 


equipos conectados a internet. BGP ES UTILIZADO 
BGP es usado por grandes proveedores POR GRANDES 

de conectividad a internet (ISP) y aunque es 

bastante complejo, no deja de ser el favorito de PROVEEDORES DE 

muchos administradores de redes. También es CONECTIVIDAD 

considerado el único protocolo que actualmente 

soporta enrutamiento entre dominios. A INTERNET 


Recordemos que otras características elementales 


de este protocolo son las siguientes: > > 


e Además de soportar VLSM, CIDR y sumarización. 

+ Su funcionamiento se basa en la asociación de redes AS de tal suerte 
que otros dispositivos envían tráfico hacia el destino a través de AS. 

+ BGP es un protocolo path-vector que mantiene muchas de las 
características de los protocolos vector distancia. 


AS 500 AS 501 


Figura 22. El protocolo BGP se encarga 
de asociar redes con sistemas autónomos (AS). 
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Configuración básica de BGP 


El comando que se utiliza en esta ocasión para activar el protocolo 
BGP en una red es: router bgp, acompañado del número de sistema 
autónomo. Desde luego que no nos hemos librado de la secuencia de 
órdenes como network [dirección 1P] [máscara de red], para la asignación 
de direcciones de red, ni del comando show para mostrar las 
configuraciones efectuadas. 


e _— 
| Physical | Config] Cu 


105 Command Line Interface 


8 mask 288.820-218.3 


Figura 23. En la presente imagen, se muestra 
el proceso de configuración básica de BGP. 


Es necesario mencionar que antes de comenzar con el proceso 
de configuración BGP tengamos previamente configuradas nuestras 
interfaces, tal y como se ilustra en el siguiente Paso a paso. 

Con la finalidad de poder guiarnos en la configuración, se ha 
propuesto la siguiente topología. 


SISTEMAS AUTÓNOMOS 


Un sistema autónomo es un conjunto de redes y dispositivos routers IP que se encuentran administra- 
dos por una sola entidad que cuenta con una política común de definición de trayectorias para internet. 
Para obtener información detallada sobre esta definición, podemos consultar RFC1930. 
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AS 2500 


AS 2000 


Figura 24. En esta imagen se muestra 
la topología base para la configuración del protocolo BGP. 


PAP: PROCESO DE CO 


IGURACI 


DE RUTAS ESTÁTICAS 


0 En primera instancia, configure todas las interfaces tanto seriales como ethernet 
presentes en la red. En este caso efectúe dicha configuración sobre el router 
principal. Recuerde ir guardando la configuración previa. 


Routez (config) finterface serial 3/0 


Rourez (config-3£) fdescríprion Conexion a 1SP 2, AS 2520 
Router (confíg-35)f1p address 192.168.2.8 255.285.285.0 

Router (config-11) textr 

Router (config) fínterface fasterherner 0/0 

[Router (config-1£) fdescríprion Conexion a red interna, AS 2000 
Router (config-3£)$ip address 172.16.5.2 255.255.285.0 

Router (confíg-1£) fextr 
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»> 
0 Declare el comando router bgp [número de AS] asignado a la red principal e 
introduzca las redes correspondientes para el intercambio de información con ayuda 
del comando network. Luego salga de la configuración y guarde sus cambios. 


ss vs-6-CoNTIC_I: Cemtigured from consola hy sensata 


0 Ahora, solo basta verificar la configuración efectuada. Para ello, ejecute el comando 
show ¡ip bgp summary, más la tecla ENTER para desplegar un resumen de la 
configuración BGP. 


xcUter 1derticiór O. 


10ca3 AS rumber 2000 


of mencry 


0/0 parna, seun Letacval 50 anos 


AS Magiicrd Megdene — Tolar log Ou: Op/Dowa Bara/Ptañ=á 
2500 a 2 1 2 000% “ 
2520 0 9 1 2 00053 
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Como podemos ver, acabamos de emplear 


algunos comandos adicionales, los cuales a PARA VERIFICAR LAS 
menudo pudieran ser de utilidad, como el CONFIGURACIONES 
siguiente: neighbor [dirección IP] remote-ass [número], 
el cual se declara para identificar al router vecino REALIZADAS 
o grupo con el que se establece una sesión y su AS PODEMOS 
respectivo. 

Para verificar las configuraciones previas USAR SHOW 


realizadas, podemos recurrir a alguna variante del 


comando show: y y 


e show ip bgp 
e show ip route summary 
e show ip bgp summary 
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a RESUMEN 


El enrutamiento es un proceso que todos los administradores de red debemos prever al momento de 
poner en marcha cualquier red de cómputo, sobre todo si queremos garantizar el intercambio de in- 
formación de manera eficiente, integra y rápida. En este capítulo, pudimos apreciar la importancia del 
enrutamiento, los tipos de asignación: estática y dinámica, y desde luego la ejemplificación de los 
principales protocolos de enrutamiento de estado de enlace y vector distancia: RIP, OSPF, EIGRP y 
BGP. En el siguiente capítulo, analizaremos las listas de control de acceso (ACL). 
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Actividades 


TEST DE AUTOEVALUACIÓN 


Defina con sus propias palabras enrutamiento. 

¿Cuál es la diferencia entre rutas estáticas y rutas dinámicas? 

¿Cuál es la secuencia de comandos para la configuración de rutas estáticas? 
Mencione la clasificación de los protocolos de enrutamiento dinámico. 

¿Cuál es la métrica utilizada por el protocolo RIP? 

Mencione por lo menos tres protocolos de enrutamiento dinámico. 

¿Cuál es la métrica empleada por el protocolo OSPF? 


¿Cuál es el comando para conocer si un router está designado como DR o BDR? 


0 0 JO 9d aun 


Escriba la fórmula para el cálculo de la métrica del enrutamiento EIGRP. 


. 
o 


¿Qué es un sistema autónomo (AS)? 


EJERCICIOS PRÁCTICOS 
1 Realice una topología de red en Packet Tracer y efectúe el enrutamiento estático 
para conseguir la comunicación entre seis routers. 
Efectúe el enrutamiento dinámico mediante el protocolo RIP. 
Realice la configuración de tres routers para designar un equipo DR y un BDR. 


Plantee dos ejercicios sobre rutas EIGRP para el cálculo de la ruta más óptima. 


2 
3 
4 
5 


Ze PROFESOR EN LÍNEA 


Efectúe la configuración básica BGP sobre una topología de tres routers. 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorUVredusers.com 
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Listas de Control 
de Acceso (ACL) 


En este capítulo conoceremos todo lo relacionado con las 
Listas de Control de Acceso. Desde sus características, 
funciones y clasificación, hasta la forma de crearlas y ponerlas 
en marcha sobre el router para obtener un mayor nivel de 
seguridad en la red. Además haremos un recorrido por los 


tipos de puertos y protocolos más comunes en una ACL. 
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= Introducción a las ACL 


Hoy en día, se hace cada vez más necesario el control del tráfico 
de datos entrante (in) y saliente (out) en una red conectada a internet; 
esto con el propósito de prevenir o solucionar problemas derivados 

de ataques informáticos, virus, servicios 


ilegales, políticas de restricción, filtrado de 
LAS ACL SON REGLAS rutas y actualizaciones. Para evitar este tipo de 


QUE ESTABLECEN situaciones, se ha desarrollado una alternativa 
que cumple con el propósito de filtrar el 

CONJUNTOS tráfico permitiendo o denegando determinadas 

DE PERMISOS Y conexiones. Dicha alternativa recibe el nombre de 
ACL (Access Control List). 

RESTRICCIONES Consideremos que las ACL o Listas de Control 


de Acceso se definen como un conjunto íntegro 
E de reglas en las que se establecen condiciones 
de permiso y restricción que a menudo son usadas para identificar y 
filtrar tráfico que entra y sale en una red. Este tráfico originalmente se 
encarga de transitar por la interfaz de un dispositivo de red, tal y como 
lo hiciera un firewall o cortafuegos. 

Las Listas de Control de Acceso, generalmente, son aplicadas tanto a 
puertos de servicio como nombres de dominios que están disponibles 
en una terminal virtual de red, basándose en determinado tipo de 
protocolos, e incluso en direcciones de red (1P). 

Por lo general, las razones para efectuar la implementación de 
ACL en una red varían de acuerdo con la organización en la que nos 
encontremos, aunque se sabe que el principal objetivo es proporcionar 
un nivel de seguridad para el acceso a la red. 
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CONTROL DE ACCESO EN GNU-LINUX 


Es importante mencionar que para efectuar el control de acceso a la información dentro del sistema 
operativo del pingúino, a menudo nos valemos de la asignación de políticas de seguridad mediante tres 
tipos de permisos: read (lectura), write (escritura) y ejecución (exe), los cuales conforman la base de 


programación de una ACL convencional. 
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Cortafuegos 


Figura 1. Las ACL trabajan de manera muy similar a los firewalls en una red. 


El funcionamiento de una ACL se centra en un algoritmo selectivo 
para decidir si se ha de permitir (permit) o denegar (deny) el tráfico 
por las interfaces de un dispositivo residente en la red. 

Actualmente podemos encontrar diferentes tipos de ACL, las cuales 
están clasificadas según su complejidad. Las más conocidas son: las 
ACL estándar y las ACL extendidas. La explicación detallada de cada 
tipo de ACL será abordada más adelante en el tema correspondiente. 


O SEGURIDAD INFORMÁTICA 


Quizá muchas veces hemos oido hablar del término seguridad informática. Debemos considerar que 
se trata de un área del rubro tecnológico encargada del estudio de herramientas, métodos, reglas y 
también leyes fehacientes para realizar la protección correcta de la infraestructura computacional en 


contra de amenazas tales como las que mencionamos a continuación: accesos no autorizados, ataques, 


sabotaje y mal uso de la información. 
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192.168.101,254 


10.0.0.2 
172.16.0.1 


a 192.168.1013 (2) 100.01 
4 


NAT 
Denegado 
ACL: Denegar 
paquetes con dirección 
¿e IP de origen 10.0.0.2 


Figura 2. En el presente esquema se muestra la representación de una ACL. 


Después de conocer la definición, las razones de implementación y 
los tipos generales de ACL, vale la pena hacer énfasis en la aplicación 
de Listas de Control de Acceso en un router. Para llevar a cabo esta 
tarea, podemos valernos del método de las tres P, el cual refiere que 
una ACL puede configurarse por protocolo, por dirección y por interfaz. 


+* Por protocolo: para efectuar el control de flujo de tráfico debe 
definirse una ACL para cada protocolo habilitado en la interfaz. 

+ Por dirección: las ACL controlan el tráfico para una dirección y 
también en una interfaz. Derivado de esto, deben crearse dos ACL 
por separado para controlar el tráfico entrante y saliente. 

+ Por interfaz: controlan el flujo de tráfico para una interfaz. 

Por ejemplo, Ethernet0/0 o serial0/0/0. 


Funcionamiento de las ACL 

Las ACL nos ofrecen una serie de características interesantes, 
las cuales debemos conocer para comprender detalladamente tanto 
el funcionamiento de una ACL como su forma de implementación. 
Algunas de ellas serán citadas a continuación: 


* Una ACL es una lista compuesta por una o más instrucciones. 
+ Pueden ser asignadas a una o más interfaces de un dispositivo. 
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e En caso de considerar solo el tráfico de tipo TCP-IP, para cada 
interfaz, solo se debe asignar una ACL para tráfico entrante 
(in) y otra para el tráfico saliente (out). 

Derivado de lo anterior, a menudo se 
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presenta la clasificación de las ACL, según el LOS PAQUETES 
procesamiento de paquetes: listas de acceso ENTRANTES DEBEN 
entrantes y listas salientes. 

+ Listas de acceso entrantes: los paquetes SER FILTRADOS 
entrantes deben ser filtrados antes de ser ANTES DE SER 


enrutados a una interfaz de salida. En caso de 


que el paquete pase la prueba de filtrado, este ENRUTADOS 


será procesado para el enrutamiento, de lo 


contrario será descartado. 


Paquete entrante ¿Existe ACL en la interfaz? 


Cumplimiento 
de las 
condiciones 


Aplicar la condición 


Iniciar proceso 
de enrutamiento 


Figura 3. En esta imagen, se esquematiza el 
procesamiento de una lista de acceso entrante. 


e Listas de acceso salientes: los paquetes entrantes regularmente 
son encaminados a la interfaz de salida. Posteriormente se procesan 
por medio de listas de acceso salientes. Esto quiere decir que 
los paquetes que salen deben ser enrutados antes de pasar a ser 
filtrados. Como se puede observar, se trata de un proceso contrario 
a lo sucedido con las listas de acceso entrante. 
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e Cada comando puede permitir o denegar el tráfico, usando para 
esto tanto el origen y destino del tráfico como el protocolo usado. 

e Los routers comparan la ACL línea por línea. En caso de existir 
alguna concordancia, toma la acción de aceptar o denegar el tráfico, 
por lo que se omite la revisión del resto de los renglones. 


Paquete saliente 


Iniciar proceso 


de enrutamiento ¿Existe ACL en la interfaz? 


Cumplimiento 
de las 
condiciones 


Aplicar la condición 


Figura 4. Esquema que muestra el procesamiento de una lista de 
acceso saliente. 


e En caso de no existir concordancia alguna, el tráfico ha de denegarse 
en forma completamente automática. 
e Al final de cada ACL se encuentra implícita la acción deny any. 
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O LA IMPORTANCIA DEL LOOPBACK 


Las direcciones de red catalogadas como loopback poseen la capacidad de probar si la tarjeta de red 


interna de algún dispositivo de red está enviando datos BGP (Border Gateway Protocol). El rango de las 
direcciones loopback es 127.0.0.0, de las cuales la más utilizada es la 127.0.0.1. 
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Paquetes a las 
interfaces en el 
grupo de acceso 


Concordancia 
de la primera 
prueba 


Concordancia 
de las siguientes 
pruebas 


Concordancia 
de las últimas 
pruebas 


PERMITIR 
0 DENEGAR 


No 
(denegación implícita) 


Figura 5. En la presente imagen, se ilustra 
el funcionamiento general de una ACL. 


(N RESTRICCIÓN DE ACCESO 


Es interesante mencionar que de la misma manera que se restringen los accesos a un destino u origen, 
se puede restringir el acceso mediante Telnet a un router determinado. Esto se realiza con el fin de ase- 
gurarse de que solo los administradores de dicho dispositivo pueden establecer la conexión. Lo anterior 
implica realizar una lista completa de los administradores que sí pueden acceder a este router vía Telnet 
(incluyendo la IP empleada por el administrador). 
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=> Protocolos de 
configuración ACL 


A lo largo de este capítulo, vamos a encontrarnos con algunos 
términos que hacen referencia a temas tales como: protocolos y 
puertos empleados en la configuración de una ACL. Esto quiere decir 
que para llevar a cabo la configuración de una Lista de Control de 
Acceso requeriremos en su momento de la asignación o invocación de 
algún protocolo o puerto de comunicación existente. 

Algunos de los protocolos más utilizados y que generalmente se 
emplean en el ámbito de la configuración de las Listas de Control de 
Acceso se muestran en la siguiente tabla: 


TABLA 1: PROTOCOLOS PRESENTES EN LA CONFIGURACIÓN DE ACL 


y PROTOCOLO / COMANDO y DESCRIPCIÓN 


Tabla 1. Protocolos más utilizados en la configuración de una ACL. 


(4) PUERTOS Y MÁS PUERTOS 


Actualmente podemos encontrar una gran variedad de puertos TCP / UDP utilizados por los adminis- 


tradores de redes. Si queremos conocer cuáles son estos puertos, podemos consultar la página web 
que se encuentra en la dirección www.vermiip.es/puertos. A través de este portal, también es posible 
conocer nuestra dirección IP pública. 
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Puertos TCP y UDP 


Como se ha citado previamente, existe una gran variedad de 
protocolos de comunicación en la actualidad. Aunque dos de ellos son 
los más representativos y a menudo utilizados en el ámbito de las 
telecomunicaciones: el TCP y el UDP. 


+ Protocolo TCP: es un protocolo de la capa de transporte del 
modelo OSI. Está orientado a la conexión, por tanto nos ofrece una 
transmisión confiable de los datos (transmisión bidireccional). 

+ Protocolo UDP: se trata de un protocolo no orientado a la conexión. 
Se encarga del intercambio de datagramas sin confirmación o 
garantía de entrega. UDP se define en la RFC768. 


Derivado de lo anterior, debemos saber que tanto el modelo OSI, 
como el modelo TCP-IP se encargan de exponer una gran variedad de 
puertos que emanan de sus capas, los cuales a menudo son referidos 
para la configuración de ACL. Recordemos que la tarea de filtrado de 
paquetes se implementa con la finalidad de controlar el acceso a la red. 
La misma que se lleva a cabo de manera específica en la capa de red 
del modelo OSI y en la capa de internet del modelo TCP-IP. 


Modelo OS! Modelo TCP - IP. 


Capa de Aplicación 
Capa de Presentación Capa de Aplicación 
Capa de Sesión 


Capa de Transporte Capa de Transporte 


Capa de Red Capa de Intemet 


Capa de Enlace de Datos Capa de acceso a la red 
(NAL) 


Capa Física 


Figura 6. El filtrado de paquetes para el control 
de acceso tiene su origen en la capa de red del modelo OSI. 
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Actualmente, los protocolos TCP y UDP mantienen asociados un 
conjunto de puertos conocidos como: puertos TCP y puertos UDP. 

Para poder comprender lo que vamos a analizar más adelante 
es necesario comenzar a definir el término puerto: se trata de una 
interfaz de comunicación, la cual se encuentra generalmente numerada 
con el fin de identificar la aplicación que la usa. Esta numeración tiene 
a bien indicarse mediante una palabra (equivalente a 2 bytes o 16 
bits), por lo que existen 65,535 ID de puertos. 


Q__ _ ===> 
ca 
De 49152 a 65535 EME Puertos privados y/o dinámicos 


Puertos TCP registrados: 
+ 1863 MSN Messenger 
*8008 HTTP alternativo 
-8080 HTTP alternativo 


Puertos UDP registrados: 

-1812 Protocolo de 
autenticación RADIUS 

-2000 Cisco SCCP (VoIP) 

-5004 RTP (Voice and Video 
Transport Protocol) 

-5060 SIP (VoIP) 


Puertos TCP/UDP 
registrados comunes: 
-1433 MS SQL 

- 2948 WAP (MMS) 


Figura 7. Esta imagen muestra un 
esquema de puertos TCP y UDP existentes. 


>»  www.redusers.com 


ROUTERS Y SWITCHES CISCO pes 18l 


Los puertos de comunicación normalmente se encuentran 
asignados a un protocolo. Esta asignación es, a menudo, definida por 
una organización conocida como IANA (Internet Assigned Numbers 
Authority), la cual ha agrupado dichos puertos en tres categorías: 


+ Puertos bien conocidos (TCP/UDP). 
+ Puertos registrados (TCP/UDP). GENERALMENTE, 
e Puertos privados (TCP/UDP). LOS PUERTOS DE 
+ Puertos bien conocidos: se definen como 4 
puertos reservados para el sistema operativo. COMUNICACIÓN SON 
Se trata de puertos inferiores al 1024. ASIGNADOS A UN 
+ Puertos registrados: son aquellos que 
pueden ser usados por cualquier aplicación. PROTOCOLO 


Estos puertos se encuentran comprendidos 


entre 1024 y 49151. 
+ Puertos privados: normalmente se asignan en forma dinámica a 


las aplicaciones de clientes al iniciarse una conexión. El rango de 
estos puertos es de 49152 a 65535. Consideremos que son conocidos 
como puertos dinámicos. 


Los puertos que a menudo son invocados en la configuración de 
una ACL pueden ser declarados de dos modos distintos en el router: 
mediante el número de puerto o mediante una palabra clave. 
Recordemos que cada puerto de comunicación tiene asociado un 
nombre y un valor numérico como se ha visto hasta ahora. 


Usos de números de puerto 


access-list 114 permit tcp 192.168.20.0.0.0.0.255 any eq 23 
access-list 114 permit tcp 192.168.20.0.0.0.0.255 any eq 21 


access-list 114 permit tcp 192.168.20.0.0.0.0.255 any eq 20 


Usos de palabras clave 


access-list 114 permit tcp 192.168.20.0.0.0.0.255 any eq telnet 
access-list 114 permit tcp 192.168.20.0.0.0.0.255 any eq ftp 


access-list 114 permit tcp 192.168.20.0.0.0.0.255 any eq ftp-data 


Figura 8. Existen dos modos de declarar 
un puerto durante la configuración de una ACL, 


www.redusers.com « 


182 02 5. LISTAS DE CONTROL DE ACCESO (ACL) 


3 Tipos de ACL 


Sabemos que existen diferentes tipos de ACL debidamente 
clasificadas, y que tanto las ACL estándar como las ACL extendidas son 
las más representativas y empleadas por los administradores de redes, 
pues estas representan la base de algunos tipos de ACL modernas. 

En la actualidad existe una clasificación especial de Listas de Control 
de Acceso: las ACL complejas, entre las que tenemos: ACL dinámicas, 
reflexivas y basadas en tiempo. 

Muchos administradores en redes, a menudo, recurren al hábito de 
nombrarlas en vez de asignar un rango numérico que las identifique (ACL 
numeradas); cuando esto sucede son conocidas como ACL nombradas. 


TABLA 2: TIPOS DE ACL 


y CLASIFICACIÓN y FUNCIÓN 


Tabla 2. Clasificación de los tipos de ACL. 


La diferencia entre cada una de ellas radica generalmente en la 
forma de filtrar dicho tráfico en la red, el cual se encuentra en función 
de la seguridad. Cada tipo de ACL puede utilizarse de acuerdo con la 
necesidad de la organización (tamaño, requerimientos y escalabilidad). 


Listas estándar 

Las ACL estándar también son conocidas como ACL básicas o 
simples. Este tipo de listas solamente permite filtrar conexiones según la 
dirección IP de red-subred-host de origen. Las ACL estándar a menudo 
se caracterizan por ofrecer un control minimo de flujo de tráfico en la red. 
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Interfaz Lógica de las ACL estándar 


Encabezado de paquetes que entran Segmento de datos (encabezado TCP) 


¿Solicita 
ingresar a la red 
192.168.10.1? 


¿Solicita 
ingresar a la red 
192.168,10.0.0 
0.0.255? 


No 


¿Solicita 
ingresar a la red 
192.168.0.0.0.0 
255.255? 


¿Solicita 
ingresar a la red 
192.0.0.0.0.255 
255.2557, 


Figura 9. La ACL estándar utiliza una 
dirección IP para el filtro de conexiones. 


Como se puede apreciar, las ACL estándar cuentan con una lógica 
bastante sencilla, pero una de sus principales desventajas es que no 
es muy segura en comparación con otro tipo de ACL. Sin embargo, 
encontraremos que este tipo de listas es de vital efectividad cuando se 
trabaja en una pequeña organización. 


Configuración ACL estándar 

Consideremos que para efectuar la configuración de una ACL 
estándar, debe emplearse el comando access-list, acompañado de su 
respectivo conjunto de parámetros. Para tales efectos, debemos estar 
situados en el modo de configuración global del 10S. 
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Su declaración sobre la CLI se asigna de la 


LAS ACL, A MENUDO, siguiente manera: access-list [ID de la ACL] [permit 
INVOCAN LA / deny] [IP origen] [wilcard / any]. Donde el ID de 
B la ACL se encuentra comprendido entre 1 y 99 
DIRECCIÓN DE RED (añadiendo un rango de 1300 a 1999 en rango 
PARA EL CONTROL extendido). Como se puede ver, el parámetro 
4 permit o en su caso deny permite o deniega el flujo 
DEL TRÁFICO del tráfico en la red respectivamente. Las Listas 


de Control de Acceso estándar, a menudo, invocan 
Z EN la dirección de red (IP origen) para el control 
del tráfico que proviene o se dirige a un dispositivo (pudiéndose 
incluso expresar una dirección IP para host). Esta generalmente viene 
acompañada de una wilcard, definida en términos lógicos como una 
operación NOT de la ya conocida máscara de red. Para entender 


mejor este concepto, debemos saber que la wilcard posee todos los bits 
de red con valor 0 a los host con valor 1. 


Router>enable 
Routertconfigure terminal 

Enter configuration commands, one per líne. End with CNTL/Z. 
Router (config) taccess-list 20 deny 192.168.0.0 0.0.0.255 
Router (config) taccess-líst 20 permit any 


Figura 10. En la presente imagen se muestra 
la configuración inicial de una ACL estándar. 


El comando permit, acompañado del término any, especifica en estos 
casos si se ha permitido el acceso a cualquier origen o destino. 

Una vez configurada la ACL estándar, es necesario asignarla a una 
interfaz: para ello, se invoca en primera instancia la interfaz del router 
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correspondiente. Por ejemplo: interface serial 0/0/0, 


efectuando posteriormente la siguiente secuencia PARA APLICAR UNA 
de comandos: ip access-group [ID de la ACL] [in / ACL AL TRÁFICO 
out]. Debemos saber que para aplicar la ACL al 

tráfico entrante por la interfaz se debe manejar el ENTRANTE POR LA 
parámetro denominado in; en cambio, en el caso INTERFAZ SE USA EL 
de que necesitemos establecer una ACL para el pa 

tráfico saliente será necesario que utilicemos el PARAMETRO IN 


parámetro conocido como out. 


7) 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config)taccess-list 20 deny 192-168.0.0 0.0.0.255 
Router (config)taccess-list 20 permit any 

Router (config)finterface fastethernet 0/0 

Router (config-1£)$ip access-group 20 in 

Router (config-1£)$exit 


Router (config) texit 
Routert 
s -CONF: Configur: from conso: by console 


Figura 11. Configuración de la interfaz de una ACL estándar. 


A continuación vamos a describir un ejemplo práctico para 
comprender el funcionamiento y la configuración de una ACL estándar. 
Para ello veamos el siguiente Paso a paso: 


ah CALCULADORA PARA REDES 


A través de la página de internet que se encuentra en la dirección www.subnet-calculator.com es 
posible tener acceso a un llamativo recurso para que podamos efectuar el cálculo de wilcard, subredes, 
rangos de direcciones IP, entre otras operaciones importantes. Consideremos que este tipo de recursos 
es muy útil a la hora de trabajar con redes de datos. 
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PAP: PROCESO DE 


NFIGURAC 


0 Debe determinar las direcciones que han de permitirse o denegarse. La actual 
configuración debe realizarla mediante el uso del comando access-1ist. 


Router>enable 
Routertconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
14st 18 deny 172.16.0.0 0.0.0.288 

list 16 permit any 


Router (config) tac: 
Router (config) tac: 


0 Una vez permitida o denegada la conexión correspondiente, debe configurar la 
interfaz a la que desea asociar la ACL creada. Si no ha asignado una dirección de 
red a dicha interfaz, puede realizarlo en este momento. 


Rourer>enable 
Routergconfigure terminal 

[Enter configuration comands, one per líne. End with CNIL/Z. 
Router (config) faccess-list 15 deny 172.16.0.0 0.0.0.255 
Router (config) faccess-líst 18 permít any 

Router (config) finterface fastetherner 0/0 

Rourer (confíg-1£) $1p address 10.0.0.1 255.255.255.0 
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»> 
0 Finalmente utilice el comando ip access-group acompañado del ID de la ACL 
y el indicador de flujo de entrada o salida, según corresponda (in / out), con el fin 
de comenzar a asociar la interfaz definida a la ACL recientemente creada. Para 
finalizar presione la tecla ENTER. 


ommanda, one per line. End wíth CNTL/Z 
-list 15 deny 172.16.0.0 0.0.0.285 


15 permit any 
'astetherner 0/0 
10.0.0.1 255.265.258.0 
Router (config-3£)81p access-group 16 cut 
Router (config-1£) fexir 
Router (config) text 
Routers 
[ssYS-S-CONFIG_I: Confígured from console by console 


Listas extendidas 


Las ACL extendidas a menudo suelen 


utilizar una lógica de funcionamiento (prueba LAS ACL EXTENDIDAS 
de paquetes) más compleja, ya que permiten PRESENTAN 
controlar el tráfico en base a la dirección IP > 

de origen, la dirección de destino, puertos UNA LÓGICA DE 
TCP-UDP origen-destino y el tipo de protocolo FUNCIONAMIENTO 
utilizado. Por tanto, a diferencia de lo que sucede e 

con la ACL estándar, las listas extendidas nos MÁS COMPLEJA 


van a permitir especificar la ubicación a la que se 

dirige el tráfico, por lo que de este modo tenemos 

la opción de denegar o también permitir que se efectúe un tráfico de 
una manera mucho más específica. Actualmente las listas extendidas 


suelen ser las más utilizadas, sobre todo porque nos ofrecen mayor 
control del tráfico y son más seguras. 
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Prueba de paquetes con ACL extendidas 

¿Hay una 

lista de acceso en 
esta interfaz? 


Paquete entrante 


Ira la siguiente sentencia “origen coincide con la 
ge la lista ACL?, 


el protocolo 
y el puerto? 
¿Esta es la 
última entrada 
de la ACL? 


el protocolo 
y el puerto? 


Enviar el mensaje Condición 
Destination Not 1 para permitir 
found (destino no 2 o denegar 
se encuentra) 


¿Está la din 
Úe destino en la tabla 
de enrutamiento? 


Enviar a la interfaz de salida 


Figura 12. La lógica de funcionamiento de 
una ACL extendida suele ser más compleja. 
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Configuración ACL extendida 

Para dar de alta una Lista de Control de Acceso extendida, al 
igual que una ACL estándar, debemos emplear el comando access- 
list, acompañado de su respectivo conjunto de parámetros. Para 
su configuración, no olvidemos estar situados en el modo de 
configuración global del 10S. 


Router>enable 
Routertconfigure terminal 
Enter configuration commands, one per line. End with CNIL/Z. 
Router (config)taccess-list 120 deny ? 

ahp Authentication Header Protocol 

eigrp Cisco's EIGRP routing protocol 

esp  Encapsulation Security Payload 

gre Cisco's GRE tunneling 

icmp Internet Control Message Protocol 


ip Any Internet Protocol 
ospf  OSPF routing protocol 
tcp Transmission Control Protocol 
udp User Datagram Protocol 


Router (config) $ 
Figura 13. Modo de verificar los protocolos aplicados a una ACL. 


La sintaxis correcta para la declaración de una ACL extendida se 
expresa de la siguiente manera: access-list [ID de la ACL] [permit / deny] 
[protocolo] [IP origen][wilcard / any] [IP destino] [wilcard / any]. Donde el 
1D de la ACL se encuentra esta vez comprendido entre 100 y 199 (con 
un rango extendido de 2000 a 2699). Como puede verse, el parámetro 
permit o en su caso deny se encarga de permitir o denegar el flujo del 
tráfico en la red. Como ejemplo de protocolos válidos en estos casos 


¡Ny ACL PARA GAMA AL: 


Las ACL Turbo aparecieron a partir de la versión 12.1.5 T del software CISCO 10S y solo son aplicables 
a plataformas de gama alta. Este tipo de listas de acceso garantiza un alto rendimiento del router, ya que 


por lo regular son compiladas en código ejecutable. 
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podemos citar: IP, ICMP, TCP, UDP, EIGRP, 
PARA CONFIGURAR OSPF, etcétera. Una manera sencilla de conocer 
UNA ACL EXTENDIDA los protocolos (que se pueden permitir o denegar) 

que soporta nuestro router es mediante el uso de 


ESPECIFICAMOS LA la siguiente secuencia de comandos: access-list [ID 
IP DE ORIGEN E IP de la ACL] [deny / permit] ? 

Recordemos que para la configuración de una 
DE DESTINO ACL extendida debemos especificar la dirección 


de red (IP origen) y dirección de red (IP destino) 
para mantener el control del tráfico en la red. 
En el ámbito del control de acceso, todas nuestras direcciones vienen 
generalmente acompañadas de una wilcard o máscara comodín. 
Una vez configurada la ACL extendida, procedamos a asignarla a 
una interfaz: para tal efecto, sigamos el procedimiento utilizado en la 
configuración de las listas estándar. 


Router>enable 
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igual modo fácil para conocer los puertos que se pueden invocar 
desde nuestro router es mediante el uso de la siguiente secuencia de 
comandos: access-list [ID de la ACL] [deny / permit] [protocolo] any [dirección 
1P de host o de red] eq ? 

Para poder comprender mejor la configuración de una ACL 
extendida, vamos a describir un ejemplo práctico. Para ello veamos el 
siguiente Paso a paso: 


DE UNA ACL EXTENDID. 


ROCESO DE CONFIGURACI 


De igual modo que en las ACL estándar, primero debe determinar las direcciones de 

0 red que han de permitirse o denegarse. Para esto introduzca el comando access- 
Tist, acompañado del protocolo válido, la dirección IP origen y destino. Termine 
con su respectiva máscara comodín. Presione la tecla ENTER. 


wárh CNTL/Z 


Lo que estás leyendo es el fruto del trabajo de cientos de personas que ponen todo de si para lograr un mejor 
producto. Utilizar versiones "pirata" desalienta la inversión y da lugar a MIRES de menor calidad. 
NO ATENTES comTAN LA EESIÓnd NO ATENTES Call Tl. COMPRA SÓLO PRODUCTOS ORIGINALES. 


Nuestas publi puestos locales corados: supermercados e internet 
(usershop.redusers.com).Sitieres alguna du: y er más, puedes cortacta dio de usershopidrdus: 
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0 Ahora, debe configurar la interfaz a la que desea asociar la ACL que acaba de crear. 
Asigne una dirección de red válida y finalmente presione la tecla ENTER. No olvide 
guardar su configuración. 


Router (config) faccesa-list 180 deny tcp host 172.16-0.1 any eq 80 
[Router (config) facces: 
[Router (config) finterface fasterherner 0/0 


0 Finalice la configuración asociando la interfaz antes creada a la ACL. Para ello 
utilice el comando ip access-group acompañado del ID de la ACL y el 
indicador de flujo de entrada o salida, según corresponda (in / out). 


[Enter configuration comanda, one per líne. End with CNIL/Z. 
Router (config) faccess-list 150 deny tcp host 172.16.0.1 any eq 80 
Router (config) taccess-list 150 permit ip any any 

Router (config) finterface fastetherner 0/0 

Router (config-3£) f1p access-group 180 in 

Router (config-38) fexit 


[ssyS-5-CONFIG_T- Configured from console by console 
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Listas dinámicas 


Las ACL dinámicas son a menudo conocidas también como 
Lock and Key ACL (ACL de bloqueo). Estas se 
encuentran dentro de la clasificación de las listas 


de acceso complejas. LAS ACL DINÁMICAS 
Es necesario considerar que las ACL dinámicas TAMBI ÉN SON 

son listas que solo nos permiten efectuar el flujo 

de tráfico tras la autenticación de usuarios vía CONOCIDAS COMO 

remota (mediante el uso de Telnet). A partir de este LOCK AND 

momento, consideremos que una ACL dinámica se 

agrega a una ACL extendida permitiendo el tráfico KEY ACL 


durante un período de tiempo (time-out). 


7) 


SE La PCO2 se conecta virtualmente 
al Router C para autentificarse 
1841 
B 
La PCO2 | 
10.22.2/30 pea 
Z Y Z usar FTR 
e = HTTP para 
conectarse 
1841 18411 al Router C 
A 5 : 
192.168.40.0 
2950-24 2950-24 2950-24 
Sw1 SWw2 Ssw3 
Laptop - PT Laptop - PT Laptop - PT 
Pco1 Pco2 PCo3 
192.168.20.10 192.168.40.10 J 


Figura 15. Las ACL dinámicas 
usan un mecanismo básico de autenticación. 
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Router 


10.0.0.0/24 


8 


Cliente Server 


172.16.0.0/24 


033 19 


Figura 17. Representación de una ACL dinámica, 
con el ejemplo de una arquitectura cliente-servidor. 


Listas reflexivas 

Debemos tener en cuenta que en toda red 
moderna, el tráfico que proviene desde el exterior 
debe ser bloqueado a menos que quede permitido 
por una ACL o se retome el tráfico iniciado desde 
el interior de la red. 

Debemos saber que muchas aplicaciones 
comunes se basan en TCP, el cual construye 
un circuito virtual entre dos puntos finales. 
Las soluciones para el filtrado de tráfico basado 
en la conectividad de dos vías de TCP son: 


+ TCP establecida. 
e ACL reflexiva (solo en ACL nombradas). 


EN LAS REDES 
MODERNAS, EL 
TRÁFICO EXTERIOR 
DEBE SER 
BLOQUEADO 


7) 


Hace tiempo, surge la primera generación de solución de filtrado de 
tráfico basado en TCP establecida como orden en las ACL extendidas: 
established. Consideremos que este comando, usado solo para TCP de 


entrada (opcional), se encarga de bloquear todo el tráfico de respuesta 
TCP presente dentro de la red (asumiendo que el tráfico está asociado a 
una conexión nueva iniciada desde el exterior), a menos que predomine 


un conjunto de bits ACK o RTS establecido. 
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Puerto (80) bandera 
de control establecida 


Serial 0/0/1 


Serial 0/0/1 


Figura 18. En el presente esquema se visualiza una 
topología que ilustra las ACL de TCP establecido. 


Actualmente, los administradores de red utilizan las ACL reflexivas 
para permitir el tráfico IP de las sesiones procedentes de su red al 
tiempo que niega el tráfico IP de las sesiones originadas fuera de la red. 
Es entonces cuando el router lleva a cabo la tarea de examinar el tráfico 
de salida y cuando ve una nueva conexión, se agrega una nueva entrada 
en una ACL temporal para permitir las respuestas hacia adentro. 

Las listas reflexivas a menudo se encargan de permitir el flujo de 
tráfico solo si es iniciado en una dirección, pero sin usar las banderas 
de conexión de TCP. Anteriormente hemos visto que en vez de 
dirección de red IP se pueden colocar otros protocolos, además de un 
conjunto de criterios adicionales apegados al protocolo en cuestión. 

Debemos saber además qué TCP a menudo nos permite agregar 
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al final del identificador de origen o destino un 
identificador de puerto, que en ocasiones nos 
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ES IMPORTANTE 


permite incluir adicionalmente algunas banderas VALORAR LA 
de conexión como established. , 

Este caso particular de TCP es muy útil cuando CONDICIÓN PERMIT 
se tienen dos redes de las cuales una es confiable PARA CONEXIONES 


y la otra no. Ante esto es preferible valorar la 
condición permit solo para conexiones cuya 
solicitud provenga de la red confiable, es decir, 
que se abran desde la red interna y no se puedan 
abrir conexiones desde la red externa. 


Router>enable 
configure terminal 

config) taccess-list 100 permit tcp any 50 192.168.1.0 0.0.0. 
config) tac: 'u= 100 deny ip any any 

Router (config) finterface serial 0/0/0 


Figura 19. Configuración de una ACL de TCP establecido. 


Configuración ACL reflexiva 

Es importante mencionar que para efectuar el proceso de 
configuración de una ACL reflexiva deben emplearse dos palabras 
claves adicionales, tales como: reflect y evaluate. 

Podemos, incluso, colocar una IP de salida, en la cual se va a 
permitir el tráfico, pero antes deben crearse las ACL necesarias para 
el tráfico de retorno con reflect y de entrada se le debe indicar a la ACL 
que evalúe (a través de la orden conocida como evaluate) las entradas 
dinámicas por la ACL de salida. 
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Router (config) $ip access-list extended SALIDA 
Router (config-ext-nacl)$permit icmp 172.18.0.0 0.0.0.255 any refle: 
Router (config-ext-nacl)fip access-list extended ENTRADA 

Router (config-ext-nacl)fevaluate TICMP 

Router (config-ext-nacl)finterface serial2/0 

Router (config-1£)fip access-group SALIDA out 

Router (config-1£) $ip access-group ENTRADA in 

Router (config-1£)$ 


Figura 20. Asignación de una dirección 
IP para configurar una ACL reflexiva. 


Para llevar a cabo la configuración de una ACL reflexiva vamos a 
guiarnos del siguiente ejercicio (adjunto a la topología), el cual nos 
ayudará a comprender en tres sencillos pasos su configuración. 


Regreso de tráfico 
Puerto 80 y 53 permit. 
El resto deny. 


Figura 21. Topología para la configuración de una ACL reflexiva. 
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PA 


N DE UNA ACLR 


ROCESO DE CONFIGURACI NS 


0 En primer lugar, cree una ACL_Interna que busque nuevas sesiones salientes. 
Permita el servicio proporcionado por los puertos en cuestión, coloque un nombre 
válido y un tiempo de espera adecuado (10 segundos). 


[Router (configrext=naci) Epermit 1cp any any eq 20 zeflecí NAV-ACL-AEFLEX 
Router (config-ext-nacl) fpermit udp any any eq 52 zeflect DNS-ACL-SEFLEX 
Router (config-ext=naci) texir 

[hourericontig)s 


0 Proceda a crear una ACL_EXTERNA que utilice las ACL reflexivas para examinar 
el tráfico del entorno. Declare la lista extendida y evalúe con evaluate. 


Fouter (config-ext-nacl) fevaluste DMS-ACL REFLEXIVA 
Router (config-ext-nacl) tdeny 3p any any 
Outer (config-ext=nacl) fexie 
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0 3 Finalmente asocie las ACL creadas a una interfaz apropiada. Para ello utilice el 
comando ip access-group. Y determine cuál es de entrada (in) y cuál de 
salida (out). Finalice guardando la configuración previa. 


Listas basadas en tiempo 
Como su nombre lo indica, las ACL basadas en tiempo son 
aquellas que tienen como propósito restringir el acceso a ciertos 
dispositivos de red por rangos de tiempo definidos (horas, días). Esta 
función es bastante útil a la hora de controlar el 
acceso a algunas redes (incluyendo internet) en 
LAS ACL BASADAS EN horarios fuera de oficina o, en su defecto, para 
TIEMPO PERMITEN controlar el uso indiscriminado del recurso; por 
ejemplo, en días no laborales. 
RESTRINGIR EL Para llevar a cabo la configuración de estas 
ACCESO POR RANGOS listas, es necesario que tengamos conocimientos 
previos sobre las ACL extendidas y que también 
DE TIEMPO manejemos los comandos básicos que nos 
permitirán verificar, administrar y modificar 
ciertos parámetros de un dispositivo de red 
(router o switch), tales como: la fecha o la hora del sistema, entre 


otros datos importantes. 
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Figura 22. Las ACL basadas en tiempo se encargan 
de restringir el acceso a una red en rangos definidos de tiempo. 


Configuración ACL basadas en tiempo 

Para efectos de configuración de una ACL basada en tiempo, 
debemos definir previamente los tiempos de acceso, entre los que se 
consideran horas específicas y días por semana. Este tiempo debe ser 
definido con un nombre para su posterior identificación. 
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En el siguiente Paso a paso se ilustra el proceso de configuración de 
una ACL basada en tiempo. Para comprender este contenido, vamos 
a basarnos en el siguiente escenario: imaginemos que se requiere 
denegar el acceso a internet a un grupo de usuarios de una red local 
durante horas de oficina, concediendo únicamente el acceso durante el 
lapso de comida y después de las horas entre las 18:00 y las 20:00. 


PAP: CONFIGURACIÓN DE UNA ACL BASADA EN TIEMPO 


Lo primero que tiene que hacer es crear un rango de tiempo que defina momentos 

0 específicos del día y de la semana. Esto es posible ingresando el comando time- 
range [nombre] y la orden periodic [Rango de dias/horas]. 
Presione la tecla ENTER por cada secuencia de órdenes ejecutadas. 


louter (config) $rime-zange TIEMPO-EMPLEADO 
[Router (config-time-range) fpericdic veekdays 13:00 to 14:00 
[Router (config-rime-range) fpericdíc weekdays 18:00 to 20:00 
[Router (config-time-range) fexit 

Router (config) 4| 


O ACL BASADA EN FECHAS Y HORARIOS 


La ACL basada en fechas y horas es mucho más común de lo que imaginamos. Sobre todo si lo en- 
focamos a nivel corporativo (Pyme). Para su implementación se hace uso de un Server NTP y un router, 
donde el servidor se encarga de mantener la sincronía de los tiempos y delegar la aplicación de políticas 


de acceso en la red. 


>»  Wwww.redusers.com 


ROUTERS Y SWITCHES CISCO USERS Y) 


» 


0 Defina la ACL correspondiente, encargada de permitir todo el tráfico desde 
cualquier origen hacia cualquier destino en el horario señalado. Si lo que requiere 
es mayor nivel de control, puede trabajar con protocolos TCP/UDP. 


Router (config) frime-range TIEMPO-EMPLEADO 
[houter (config-time-range) fperiodíc weekdays 13:00 to 14:00 

[Router (config-time-range) fperiodíc weekdays 18:00 to 20:00 

[houter (config-time-range) fexit 

houter (config) set 100 permit ip 192.168.1.0 0.0.0.285 any 
houter (confia) ¡list 100 deny 1p any any 

[Router (config) 


0 Para concluir, aplique las ACL creadas a una interfaz adecuada. Para ello utilice el 
comando ip access-group. Determine además la entrada (in) y la salida 
(out). Finalice guardando la configuración previa. 


Router (config) ftime-range TIEMPO-EMPLEADO 
Router (config-time-range) fperiodic weekdays 13:00 to 14:00 


Router (config-time-range) fpericdic weerdays 18:00 to 20:00 
Router (config-time-range) fexit 

¡Router (config) facce: 

Router (config) face: 


Router (config) Hámtertace Las 
Router (contig-11) Hip acc 
Router (config-1£)texir 
heures (coneigr a] 
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Listas nombradas 


Hasta este momento, quizá nos estemos preguntando ¿qué diferencia 
existe entre una ACL numerada y una ACL nombrada en cuanto a 
desempeño se refiere? Y ¿cuál es la forma de asignar nombre a una ACL? 

Sabemos que las listas numeradas tienen un rango numérico 
asignado para su identificación, mientras que las listas nombradas 
son identificadas por un nombre. 

En las listas numeradas no es posible borrar entradas individuales 
de una lista específica. Mientras que en las listas nombradas esto 
se encuentra permitido. Por tanto, es posible tanto la modificación 
como la reconfiguración inicial de dichas listas. Aunque debemos 
saber que las listas de acceso de diferentes tipos no podrán jamás 
compartir un mismo nombre. La forma de declaración de una lista 
nombrada es mediante el uso de una cadena de identificación en vez 
de un valor numérico preestablecido: tal y como se explica en el tema: 
Configuración ACL nombrada. 

Cuando realicemos alguna configuración de ACL IP con nombre, 
es recomendable recurrir al comando ip access-list ? desde el modo de 
configuración global. Consideremos que esto nos ayudará a decidir 
si queremos aplicar un rango numérico válido o un nombre 
de identificación a una ACL tipo estándar o extendida. 


Router>enable 
Routertconfigure terminal 
Enter configuration commands, one per line. End with CNIL/Z. 
Router (config)fip access-líst ? 

extended Extended Access List 

standard Standard Access List 
(config) tip acce: e 


Figura 23. El tipo de ACL a configurar se 
puede verificar desde el IOS del router. 
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Configuración ACL nombrada 
Para efectos de configuración de una ACL IP con 
nombre, se puede recurrir a la sintaxis siguiente: 


ip access-list [tipo ACL standard / extended] [nombre]. PODEMOS PROCEDER 

Notemos que cada vez que invocamos la presente A REALIZAR LA 

secuencia de órdenes, el prompt de la CLI cambia Ñ 

a: Router(config[std / ext]naci)*. CONFIGURACIÓN 
A continuación, mostramos un ejemplo DE UNA ACL IP CON 

práctico para su configuración: iniciemos creando 

una ACL extendida con el nombre USERS, que NOMBRE 

se encargue de denegar el tráfico de cualquier 

origen a cualquier destino hacia el puerto FTP vi ” 

(21), permitiendo cualquier tráfico IP. Finalmente asociemos dicha 


información a la interfaz fastethernet 0/0. 


Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config) tip access-list extended USERS 

Router (config-ext 
Router (config-ext 
Router (config-ext-nacl) fexit 

Router (config) finterface fastethernet 0/0 
Router (config-1£)$ip access-group USERS out 
Router (config-1£) texir 

Router (config) | 


Figura 24. Configuración de la ACL IP USERS desde el TOS de un router. 


Para la configuración de una ACL, se puede hacer uso de una interfaz 
gráfica de usuario (GUI) originalmente creada por CISCO, la cual recibe 
por nombre Cisco Configuring Proffesional (CCP). Esta interfaz es fácil 
de instalar y administrar desde cualquier PC para la configuración 
de dispositivos de red. La sección para la configuración de listas de 
acceso se encuentra en la opción Security-firewall. Para acceder a esta 
plataforma es necesario estar registrados en la página de CISCO. 
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Cisco Configuration Professional 


Figura 25. CCP es una alternativa gráfica 
de CISCO para la configuración de dispositivos de red. 


= Verificación de ACL 


Recordemos que para verificar cualquier configuración efectuada 
podemos hacer uso de la orden show con sus respectivos parámetros. 
Para el caso de las ACL, contamos con una serie de comandos 
específicos; para conocerlos, analicemos la siguiente tabla, en la que se 
describe brevemente la función de cada uno de estos. 


TABLA 3: VERIFICACIÓN DE UNA ACL 


y COMANDO y DESCRIPCIÓN 


Tabla 3. Verificación de una ACL con el comando show. 
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Hoy en día, es muy común que los 
administradores de redes requieran en un 


momento dado de la eliminación de Listas de UNA ACL DEBEMOS 
Control de Acceso. La razón de ello puede derivar 

de la necesidad de cambios en las políticas COMPLETAR DOS 
de seguridad de la organización, errores de FASES O TAREAS 
asignación, reconfiguración, etcétera. Esta tarea 

consiste en dos sencillas fases: SENCILLAS 
e La primera fase es la eliminación de la e el 

interfaz donde fue aplicada la ACL. 


e La segunda, eliminación de la ACL deseada. 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config)finterface fastethernet 0/0 

Router (config-1£)$no ip access-group 150 in 

Router (config-1£)$exit 

Router (config)$no access-list 150 

Router (config) + 


Figura 26. Proceso de eliminación de una ACL. 


(Dd ACL SOBRE LÍNEAS VTY 


En la actualidad, las Listas de Control de Acceso o ACL se pueden aplicar no solo sobre interfaces 
de conexión, sino también sobre líneas VTY. Debemos tener en cuenta que esta última aplicación se 
realiza con el fin de controlar ciertas redes específicas y también para controlar el acceso de algunos 
dispositivos para establecer una sesión ejecutiva a través de las líneas virtuales que son utilizadas para 
la administración remota del sistema. 
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= Listas de Control de 
Acceso en VLAN 


Hasta ahora, hemos hablado de ACL aplicadas en los routers, pero 
¿qué hay de las listas de control de acceso en una VLAN? Ha llegado 
el turno de los switches, y es que no podemos dejar de lado este tipo 
de dispositivos capaces de soportar hasta tres tipos de ACL, las cuales 
garantizan no solo la protección, sino también la restricción de accesos 
a todo un grupo de equipos conectados a una red. 
Tengamos en cuenta que una VLAN ACL 
(conocida como VACL) generalmente proporciona 
UNA VLAN ACL el control de acceso para todos los paquetes que 
PROPORCIONA están en forma residentes dentro de una VLAN o 


que están dirigidos dentro y fuera de una VLAN 
CONTROL PARA LOS para la captura de VACL. 


PAQUETES DENTRO A diferencia de las ACL tradicionales, las cuales 
se aplican solo en paquetes enrutados, las VACL 
DE UNA VLAN se aplican a todos los paquetes y pueden ser 


referidas a cualquier VLAN. 


Al 


>. 


10.1.1.1/24 


Pco2 
10.1.1.2/24 


Figura 27. El switch es el dispositivo 
donde se efectuará la configuración VACL. 
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Configuración de VACL 

Para efectuar la explicación del proceso de configuración de una 
VACL, y con fines prácticos, vamos a iniciar listando detalladamente, 
en esta ocasión, el conjunto de pasos a seguir: 


e Definición de un mapa de acceso VLAN. 
+ Configuración de una cláusula de ajuste en un 


mapa de acceso VLAN que corresponda. EN PRIMER LUGAR 
+ Luego realizamos la configuración de una DEBEMOS PROCEDER 
cláusula de acción en un mapa de acceso VLAN. 
e Laaplicación de un mapa de acceso VLAN. A DEFINIR 
+ Posteriormente se efectúa la verificación de la UN MAPA DE 
configuración del mapa de acceso VLAN. 
e Configuración de un puerto de captura. ACCESO VLAN 


+ Configuración y conexión VACL. 


En la siguiente tabla se muestra la secuencia de comandos 
empleados para la configuración de VACL: 


TABLA 4: COMANDOS EMPLEADOS PARA CONFIGURAR UNA VACL 


y COMANDOS y DESCRIPCIÓN 
vlan access-map map_name Define un mapa de acceso VLAN: opcionalmente, se puede especif- 
[0-65535] Car un número de identificación previsto en un rango de O a 65535, 
action Mforward 
a / Efectúa la configuración de una cláusula de acción sobre el mapa de 
acceso VLAN: para configurar una cláusula de acción, debe utili- 

dl zarse la orden action con su respectiva secuencia de parámetros. 

port-channel [channel 1D] a 


Tabla 4. Comandos para configuración VACL. 
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El proceso de configuración de una VACL requiere, además, 
la configuración de un puerto de captura: se trata de una interfaz 
que debe ser configurada para capturar el tráfico filtrado VACL. 
Este proceso exige el uso de las siguientes órdenes: 


TABLA 5: CONFIGURACIÓN DE UN PUERTO DE CAPTURA VACL 


wy PASO y COMANDOS y DESCRIPCIÓN 


Tabla 5. Pasos para la configuración de un puerto de captura VACL. 


Finalmente debemos tener en cuenta que para verificar la 
configuración del mapa de acceso VLAN (incluyendo las asignaciones 
VACL y VLAN), debemos emplear el comando denominado show con sus 
argumentos correspondientes. 


Switch (config)fvlan access-map VACL 10 

Switch (config-access-map)+ action forward 

Switch (config-access-map)f match iv address VACL 
Switch (config-access-map)3 vlan access-map VACL 20 
Switch (config-access-map)$ action drop 

Switch (config)tvlan filter VACL vlan-list 2 ) 


Figura 28. Ejemplo de configuración de una VACL desde un switch. 
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En la siguiente Tabla, describimos la función de las órdenes para 
verificar la configuración VACL realizada: 


TABLA 6: VERIFICACIÓN DE CONFIGURACIÓN VACL 


y COMANDOS y DESCRIPCIÓN 


Tabla 6. Modos de verificación de una VACL. 


Antes de continuar, debemos aclarar que no 


es lo mismo configurar una VACL que configurar NO ES LO MISMO 

una ACL para filtrar el tráfico entre VLAN. Pues a CONFIGURAR UNA 

menudo solemos confundirlo cuando se trata de 

cosas totalmente distintas. VACL QUE UNA ACL 
La configuración de una ACL requiere, por lo PARA EL TRÁFICO 

general, de una preparación previa inicial del 

conjunto de VLAN residentes en la red, para ENTRE VLAN 

posteriormente aplicar y probar la ACL creada que 

se va a encargar de filtrar el tráfico entre dichas e ve 

VLAN. Los pasos a seguir son: 

e Configurar las VLAN en el switch de la topología. 

e Configurar y verificar los enlaces troncales. 

e Configurar un router para enrutamiento entre VLAN. 

e Configurar, aplicar y probar una ACL para filtrar el tráfico entre VLAN. 


"114 
CCP Cisc 


CCP (Cisco Configuration Professional) es un conjunto de herramientas que tienen como finalidad 
guiar y auxiliar al administrador de redes en su labor. Esta interfaz gráfica se puede descargar desde el 
portal del fabricante. Actualmente viene en dos versiones: CCP y CCP Express. 
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Figura 29. Sobre el router debe efectuarse 
la configuración, aplicación y prueba de la ACL. 


Debemos saber que para efectuar algún tipo de 


PARA ESTABLECER configuración especial, como esta, a menudo se 

CONFIGURACIONES recurre al uso de las ACL extendidas. Recordemos 
que en el ámbito de las listas de acceso, el término 

ESPECIALES SE configurar se refiere al acto de invocar una serie 

RECURRE A LAS de comandos para crear las ACL que se requieran 
en la red; aplicar consiste en asociarla a una 

ACL EXTENDIDAS interfaz válida para el dispositivo y finalmente el 


término probar hace referencia al acto de verificar 


la configuración previamente ejecutada (comando 
show). Estas tareas se deben realizar desde el router principal. 


114 
LEN WINDOWS 


Los sistemas Windows también incorporan ACL, con el objetivo de mantener seguros los servicios que 
integran. En el caso de sistemas Server estas son invocadas para brindar protección a un conjunto de 
equipos aunados a una red. Windows 2008 Server es un ejemplo de ello. 
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Router>enable 
Routertconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config)taccess-list 100 deny ip 192.168.3.0 0.0.0.255 192. 
Router (config) $access-líst 100 permit ip any any 

Router (config)+$ 


Figura 30. Ejemplo de configuración de una ACL en una VLAN, 


uuv 


Las Listas de Control de Acceso, o ACL, representan hoy en día una solución a los problemas por tráfico 
innecesario en la red. Sobre todo si deseamos mantener el control de acceso a ciertas aplicaciones, 
puertos, e incluso usuarios no autorizados para la manipulación de la información corporativa. En este 
capítulo, tuvimos la oportunidad de conocer los tipos de ACL más utilizados: ACL estándar y ACL 
extendidas, asi como la forma en la que se crean y se implementan en una red CISCO. En el siguiente 
capítulo, abordaremos la traducción de direcciones de red. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


Mencione el propósito principal de una ACL. 

Realice un esquema de procesamiento de una lista de acceso entrante. 
¿Cuáles son los tipos de ACL más representativos en el ámbito de las redes? 
Mencione cinco protocolos presentes en la configuración de una ACL. 
Defina puerto de comunicación. 

Mencione las tres categorias de puertos TCP/UDP para listas de acceso. 
Mencione por lo menos tres puertos UDP privados. 


¿Qué diferencia existe entre la ACL estándar y la ACL extendida? 


0 0 JO 9d a un 


¿En qué consiste una Lista de Control de Acceso dinámica? 


Mencione la secuencia de comandos para la eliminación de una ACL. 


. 
o 


EJERCICIOS PRÁCTICOS 


1 Realizar la configuración de una ACL IP estándar, dados los siguientes datos: 
Denegación al host 192.168.3.0. Con la condición de permitir a cualquier 
origen con asociación a la interfaz serial 0/0/1. 


2 Desde un router CISCO, arroje los protocolos para la configuración de una ACL. 


3 Escriba la sintaxis correcta para la configuración de una ACL extendida. 


4 Efectúe la configuración de una ACL IP nombrada y una numerada. 


n vuv 
PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorUVredusers.com 


»  www.redusers.com 


NAT y PAT 


En este capítulo abordaremos dos temas relacionados 
con la traducción en el ámbito de las redes CISCO: NAT 
y PAT. Conoceremos características, funciones, tipos de 


implementación y modos de configuración. También 


OSI 


definiremos términos de vital importancia y expondremos 


interesantes topologías que nos harán comprender tanto su 


funcionamiento como su diseño sobre dispositivos de red. 


y Traducción de 
direcciones de red (NAT) 
Tipos de direcciones IP...... 
Funcionamiento de NAT 
Configuración de NA? 


v Traducción de direcciones 
de puertos (PAT)...... 


Configuración de PAT ... 
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= Traducción de 


direcciones de red (NAT) 


NAT (Network address translation — Traducción de direcciones 
de red) se presenta como un importante mecanismo utilizado 
comúnmente para asignar una red completa (o también un conjunto 
de redes) a una sola dirección IP. 
NAT permite a un único dispositivo, como un router, actuar como 
un agente entre una red pública externa (global) y una red interna 
(local). Se usa a menudo con un grupo especial 
de direcciones llamadas direcciones de intranet, 


NAT SE UTILIZA aunque es capaz de trabajar con cualquier tipo 
CON DIRECCIONES de direccionamiento IP. 

Originalmente internet no fue pensado para 
ESPECIALES ser una red tan extensa como lo es hoy en día, 
DENOMINADAS por tal motivo se reservaron solo 32 bits para 


direcciones IP, lo que supone un equivalente 


DE INTRANET a 4, 294, 967, 296 direcciones únicas. 


Al 


Actualmente el número de computadoras 
conectadas a internet ha aumentado de manera 
gradual, lo cual ha provocado que se terminen las direcciones IP 
existentes. A raíz de esto surge NAT. 

La idea de NAT se centra básicamente en la traducción de las 
direcciones privadas en direcciones IP registradas. Pues gracias 
a ello, tanto las Pymes, como las grandes compañías solo tendrán que 
utilizar una dirección IP en vez de una distinta para cada equipo. 


Red privada Red pública 
Saliente Saliente 


Red local Internet 


Entrante Entrante 
Router 
NAT 


Figura 1. NAT permite la traducción 
de direcciones de una red privada a una pública. 
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NAT está diseñado para conservar IP al usar 


direcciones privadas en redes internas (LAN NAT SE DISENO PARA 

domésticas, hogar u oficina) y convertirlas a CONSERVAR LA IP AL 

públicas para después encaminarlas a internet. 

Para que esto suceda, es preciso configurar el USAR DIRECCIONES 

dispositivo principal (router) conectado a la red. PRIVADAS EN REDES 
Debemos, además, saber que en el contexto 

de traducción de direcciones de red existen INTERNAS 

diversos términos de suma relevancia, los cuales 

no debemos pasar por alto. Algunos de ellos se e y 

mencionan a continuación: 


+ Dirección local interna (inside local): se trata de la dirección IP 
asignada a un host perteneciente a la red interna. 

+ Dirección global interna (inside global): se trata de la IP asignada 
por nuestro ISP, la cual representa la dirección local ante el mundo. 

+ Dirección local externa (outside local): se trata de la dirección IP 
de un host externo. 

+ Dirección global externa (outside global): dirección IP asignada 
por el propietario del host de una red externa. 


Como se puede observar, las direcciones de entrada pueden referirse 
con la palabra inside, mientras que las de salida se refieren con el 
término outside. Para cada caso estas pueden ser locales o globales, 
como veremos más adelante en el tema: Configuración de NAT. 

Los routers CISCO incluyen una tabla que contiene como campos 
los términos antes señalados. Para poder visualizar dicha tabla, debe 
efectuarse la configuración NAT del router y enseguida teclear la 
siguiente secuencia de órdenes: show ip nat translations desde el modo 
de acceso EXEC privilegiado. 


Ah AJUSTE DE LOS TEMPORIZADORES 


Los routers cumplen con la función de guardar las entradas de NAT en una tabla de traducción por un 
período de tiempo establecido. Para conexiones TCP, el periodo por defecto es de 86,400 segundos, o 


24 horas; mientras que para UDP dicho período es de 300 segundos o cinco minutos. 
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Router>enable 
Routergshow ip nat translations 

Pro Inside global Inside local Outside local 
tcp 198.10.1.6:80 198.10.1.6:80 200.2.30.1:1025 
Router? 


Figura 2. Los routers CISCO incluyen una tabla 
que muestra las IP externas e internas tanto locales como globales. 


Tipos de direcciones IP 
Debemos saber que en ámbito de las redes, 
existen dos tipos de direcciones IP, las direcciones 


EXISTEN DOS TIPOS privadas y direcciones IP públicas. Aquí 
DE DIRECCIONES es importante mencionar que no es lo mismo 
hablar de tipos de direcciones IP, que clases de 
IP: DIRECCIONES direcciones IP (las cuales ya se han mencionado 
PRIVADAS en el Capítulo 1 de este libro). Tampoco debemos 
di confundir ninguna de estas referencias con los 
Y PUBLICAS tipos de asignación de direcciones IP: dinámico y 


estático, los cuales van de la mano con los tipos 


Ñ E de implementación de NAT. 


Ho) PROTOCOLO DE CONFIGURACIÓN DINÁMICA 


uyy 


DHCP o protocolo de configuración dinámica es un protocolo de red que permite a los usuarios de una 


red de datos obtener parámetros de configuración de manera automática. El uso de DHCP es altamente 
recomendado para organizaciones que desean implementar redes muy amplias. 
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Direcciones de red 


Clases de IP Tipos de IP Modos de asignación 


Comerciales Dinámica 
Clase A (automática) 
Clase B Estática 
Clase C (fija) 


Figura 3. Esquema que muestra las clases, 
los tipos y modos de asignación de una dirección IP. 


Direcciones IP privadas 

Para ilustrar el término dirección de red privada imaginemos una 
red doméstica o de oficina que conecta varios equipos de cómputo a 
un router. Tomemos en cuenta que cada uno de ellos tendrá una IP 
propia dentro de esa red (que a menudo es referida como red privada). 
Esa IP privada será válida solamente dentro de dicha red (LAN en la 
que actúa y no son aceptadas por los routers) e invisible en cualquier 
otra. Dicho con otras palabras, son visibles únicamente por otros hosts 
de su propia red o de otras redes privadas interconectadas por routers. 
Generalmente son utilizadas en las empresas para los puestos de 
trabajo. Los equipos con direcciones IP privadas pueden salir a 
internet por medio de un router (o Proxy) que tenga una IP pública (la 


O INTRANET 


Es importante mencionar que una intranet puede ser definida como una red privada a menudo conocida 
simplemente como red interna, la cual se encuentra construida sobre la base de los protocolos TCP/ 


vuv 


IP. En este sentido, debemos considerar que una intranet se encarga de utilizar tecnologías de internet 
para enlazar los recursos informativos de una organización, desde simples documentos de texto hasta 


sistemas de gestión de información. 
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cual será definida más adelante en este mismo tema); sin embargo, desde 
internet no se puede acceder a computadoras con direcciones IP privadas. 


LAN en un departamento 
Switch - PT des Switch - PT 
Empty - SA Empty - SB 
al INTERNA el 


Figura 4. Las direcciones IP 
privadas son a menudo usadas en redes internas. 


Hoy en día de los más de cuatro mil millones de direcciones 
permitidas por IPv4, tres rangos están especialmente reservados para 
utilizarse solamente en redes privadas. Para saber cuáles son esos 
rangos, en función de la clase de dirección IP, veamos la siguiente tabla: 


TABLA 1: RANGOS DE LAS DIRECCIONES DE RED PRIVADAS 


y CLASEDEIP 'y RANGO (PRIVADAS] 'y NÚMERO DE DIRECCIONES IP 


Tabla 1. Rango de direcciones IP privadas. 
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Como podemos ver, estos rangos no tienen encaminamiento fuera 
de una red privada, y por tanto no es posible la comunicación con 
las redes públicas. La solución a este tipo de situaciones consiste en 
emplear la traducción de direcciones de red o NAT. 


Red privada Red pública 
Petición Petición traducida 
Origen: 192.168.1.29 Origen: 85.67.4.35 
Destino: 209.45.3.20 Destino: 209.45.3.20 


NE 
ú ñ NAT Router Servidor 
Cliente IP Privada: 192.168.1.1 209,45.3.20 


192.168.129 IP Pública: 85.67.4.35 


Respuesta traducida Respuesta 
Origen: 209.45.3.20 Origen: 209.45.3.20 
Destino: 192,168.1.29 Destino: 85.67.4,35 


Figura 5. Las direcciones IP privadas son traducidas a IP públicas. 


Una forma sencilla de poder conocer nuestra dirección IP privada 
desde cualquier PC conectada a una red es mediante el uso de la 
terminal de comandos (símbolo del sistema en Windows o terminal 
en GNU-Linux). Para tener acceso a dicha información, basta con 


(6) CISCO SUPPORT COMMUNITY 


Una dirección web que no puede faltar en la sección favoritos de nuestro explorador de internet es la si- 
guiente: www.supportforums.cisco.com/thread/2080455; se trata de un foro residente en el portal 
de CISCO donde podremos exponer nuestras dudas o consultar información respecto a NAT, PAT u otros 


temas relacionados con las redes CISCO. 
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ingresar el comando: ipconfig (para el caso de Windows) e ifconfig (para 
sistemas GNU-Limux) seguido de un ENTER. 


C:ipconfig 
Configuración IP de Windows 


Adaptador de LAN inalámbrica Conexión de red inalámbrica: 


la conexión. 

cal... 188 :ddf8: o 4806/14 
o IATA RN 192.16 

A ee A EE 2881268, % 

Puerta de enlace predeterminada . . . . . : 192.168.1.254 


Adaptador de Ethernet Conexión de área local: 


Estado de los medios. . . . . . . . 2. - : medios desconectados 
Sufijo DNS específico para la conexión. . : 


Adaptador de Ethernet VirtualBox Host-Only Network: 
Sufijo DNS específico para la conexión. 
Vínculo: dirección IPv6 local. . . : fe8Bz 
Dirección IPuá. . 

cara de subred 
Puerta de 
Adaptador de Ethernet UMvare Network Adapter UMnet1: 


NA ASSAESA 


4CcB:6f£ bc :743d:e587,18 
192.168.56.1 
255.255.255.8 


lace pi 


Figura 6. La orden ipconfig nos permite 
ver la dirección IP privada de nuestro equipo. 


Direcciones IP públicas 

Una PC con una dirección IP pública es accesible o visible desde 
cualquier otro equipo que se encuentre conectado a internet (red 
pública). Este tipo de direcciones tienen a bien identificar cualquier 
equipo conectado a internet, a diferencia de las direcciones privadas, 
que son conocidas y accesibles en redes internas (empresa, hogar, 
oficina). Habitualmente este tipo de direcciones son reconocidas y 
aceptadas por los routers de todo el mundo. 


¿QUÉ ES SDM? 


SDM es la abreviatura de Cisco Router and Security Device Manager. Consiste básicamente en 
una herramienta de mantenimiento basada en una interfaz web desarrollada por la compañía Cisco, que 
soporta un amplio número de routers Cisco 1OS. Tengamos en cuenta que en la actualidad se entrega 


preinstalado en la mayoria de los routers nuevos de Cisco. 
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CxWping www.google.com 


Haciendo ping,a www-google con [173.194,115.841 con 32 bytes de dato 
Respuesta desde 173:194-115-84: bytes=32 tliempo=S2ns TIL=58 
Respuesta desde 173-194-115-84: bytes=32 tiempo=51ms ITL-58 
Respuesta desde 173-194-115.84: bytes=32 tiempo=51ms TTL=58 
Respuesta desde 173-194-115.84: hytes=32 tiempo=50ms TTL=58 


Estadísticas de ping para 173.194.115.04; 
Paquetes: enviados = 4. recibidos = 4. perdidos = 8 
<Bz perdidos), 

Tiempos aproximados de ida y yuelta en milisegundos: 

= 50ns, Máximo = 52ms, Media = Sims 


co. 


Figura 7. Mediante el comando ping podemos 
conocer la IP pública de la página de Google. 


Actualmente existen portales web que nos 
permiten conocer nuestra dirección IP pública. Su EXISTEN DIVERSOS 
consulta es muy sencilla, y solo necesitamos tener PORTALES WEB QUE 
una conexión a internet. Muchas veces conocer 
este dato puede sernos de utilidad, por esta razón 


NOS INFORMAN 


vamos a mencionar algunas páginas que nos SOBRE LA DIRECCIÓN 
pudieran ser de ayuda para efectuar esta tarea: " 
www.cual-es-mi-ip.net, www.whatismyip.com, IP PÚBLICA 
www.checkmyip.com, www.my-ip.es, www. 

vermiip.es y www.monip.org, esta última incluso y y 
muestra el sitio web del lugar en el que se realiza la consulta. Ahora, si lo 


que deseamos es localizar una dirección IP definida, podemos recurrir al 
siguiente portal: www.internautas.org/w-iplocaliza.html. 


He) TERMINAL DE GNU-LINUX 


Trabajar con GNULinux, implica el uso de su línea de comandos llamada terminal. A través de esta, es post 
ble invocar comandos empleados en las redes de datos tal como ifconfig, que incluye la misma función que 
ipconfig de Windows. Si usted es usuario del sistema operativo del pingúino, la terminal será su mejor aliada. 


Wwww.redusers.com <« 


224 MEA 6. NAT Y PAT 


MY-IP.ES 


my-¡ip.es: 


189.191.66.0 


Añadir a Favoritos (CONTROL+D) 


DETALLES DE TU CONEXIO 
» Vemos que utlizas: (3) + Safari- A + Windows NT 6.1 


» Navegador: Mozala/S.0 (Wandaws NT 6.1) Apole/WebKit/537.36 
(KHTML, like Gecho) Ciromel 29.0.1547.76 Safari/537.36 


Figura 8. Algunas páginas de internet nos 
permiten conocer nuestra dirección IP pública. 


. . 
Funcionamiento de NAT 
Para comprender el funcionamiento de NAT, 
primeramente, debemos conocer sus tipos de 


EL MODO NAT implementación: estático y dinámico, los cuales 
ESTÁTICO EFECTÚA han sido definidos originalmente para controlar el 
Y tráfico hacia el exterior. 
LA TRADUCCIÓN DE 
MANERA UNÍVOCA + NAT estático: en este modo de 
implementación, la traducción entre direcciones 
UNA A UNA de red privadas y direcciones IP públicas se 


efectúa de manera unívoca una a una. Este 


y E representa el caso más sencillo de configuración. 
uyy 
Ho) EE 


RFC-1918 es un documento que incluye todo lo relacionado a la localización de direcciones privadas de 
internet. A través de él podemos encontrar interesantes tópicos referentes al tema; desde información 
sobre los espacios de direcciones privadas, consideraciones operacionales y condiciones de seguridad. 
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NAT DINÁMICO 


IP Privadas IP Públicas 
Pool 214.93.234.12 
10.0.0.X 214.93.234.13 
I 
- 214.93.234.12 
' mm 
pa =-.-.- 
214.93.234.13 
. $ 


= — == == Tráfico direccionado privado 
== — — Tráfico direccionado público 


Figura 9. En este esquema se muestra 
el funcionamiento de NAT estático. 


+ NAT dinámico: en este modo, las direcciones privadas son 
traducidas aleatoriamente por las direcciones públicas que haya 
disponibles. Lo que quiere decir que cuando una IP privada necesita 
traducción, el router se encargará de seleccionar una IP pública 
de entre un grupo (o pool) de direcciones IP, esto para efectos de 
conversión a una IP privada. 


¡Ny PAQUETES TCP Y UDP 


La mayor parte del tráfico generado en internet son paquetes TCP y UDP; para estos protocolos los 
números de puerto se cambian, así la combinación de la información de IP y puerto en el paquete devuelto 
puede asignarse sin ambigiedad a la información de dirección privada y puerto correspondiente. 
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NAT Estático IP Privadas IP Públicas 
Pool 214.93.234.12 
10.0.0.X 214.93.234,13 


214.93.234.12 


Figura 10. En este esquema se muestra 
el funcionamiento de NAT dinámico. 


Configuración de NAT 

La dae cb de NAT en un router es un proceso muy sencillo de 
realizar. A partir de este momento es cuando vamos a decidir qué tipo 
de implementación vamos a asignar (estático o dinámico) y también 
las interfaces que están en juego para la conexión. 

Vamos a iniciar con la configuración de NAT estática. Para efectuar 
dicho proceso debe usarse la siguiente secuencia de comandos: ip 
nat inside source static [IP local interna] [IP global externa], y finalmente la 
declaración de interfaces tanto interna como externa, respectivamente. 


1444 


HA) VPN ATRAVÉS DE LA RED PÚBLICA 


Una red privada virtual (VPN) es una conexión segura punto a punto a través de una red pública como 


internet. El servidor VPN acepta la conexión, autentica al usuario y al equipo que se está conectando, y 
transfiere los datos entre el cliente VPN y la red corporativa. Los datos enviados a través de la conexión 
recorren una red pública, y pueden ser cifrados para garantizar la privacidad. 
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Para entender la configuración de NAT, nos encargaremos de ver la 
siguiente topología y de identificar los datos correspondientes a la IP 
nat inside y la IP nat outside. 


Red local (privada) Red local (privada) 


IP nat inside IP nat outside 


E po] 


Fa0/0  Fa0/1 


Outside Global 


192.168.0.0 187.0.0.0 


Figura 11. Topología de configuración de NAT estático. 


Una vez analizada dicha figura exploremos el siguiente Paso a 
paso, de esta forma ilustraremos el proceso de configuración de NAT 
estático sobre un router CISCO. 


(Ny NAT INSIDE Y OUTSIDE 


Los mandatos a nivel de interfaz, IP nat inside tienen como fin indicar qué interfaces son parte de la 


red interior, en tanto que la IP nat outside indica qué interfaces son parte de la red exterior. Si en algún 
momento, hacemos NAT entre una red interna y una red externa, hay que especificar qué interfaces 
están en cada lado. 
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PAP: PROCESO DE CONFIGURACIÓN DE NAT ESTÁTICO 


0 1 Primero, debe conocer la dirección interna y global externa, las que deben 
declararse en la primera línea de configuración, tal y como se muestra en la figura. 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) $ip nat inside source static 192.168.0.2 187.0.0.10 
Router (config) $ 


0 Posteriormente debe determinar las interfaces (tanto de salida como de entrada) 
que se verán inmersas en dicha configuración. Inicie con la interfaz interna 
(entrada). Acto seguido, valide la interfaz con el comando ip nat inside. 


Router>enable 
Routertconfígure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config)$ip nar inside source static 192.168.0.2 187.0.0-10 
¡Router (config) finterface fasterherner 0/0 

¡Router (confíg-12) tip address 192.168.0.1 255.265.255.0 

¡Router (config-1£) tip nar inside 

Router (confíg-3£)fno shutdown 

Router (confíg-12) texte 

Router (config) $ 
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> 
0 Proceda ahora a configurar la interfaz externa (salida). Al terminar pulse la tecla 
ENTER y luego valide la interfaz, esta vez, con el comando ip nat outside. 
Para finalizar, guarde la configuración previa. 


Routerdenable 
Routertconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config)$ip nat ínside source static 192.168.0.2 187-0.0.10 
Routex (config) fínterface fasterherner 0/0 

Router (config-1£) $3p address 192.168.0.1 256.265.255.0 

Router (confíg-1£)$ip nar inside 


Router (config-1£)4no shutdown 
Router (confíg-1£) texir 

Router (config) finterface fasterherner 0/1 

Router (config-1£)$1p address 187.0.0.1 256.265.0.0 
Router (config-1£)$1p nat outside 

Router (confíg-1£)$no ahurdown 

Router (config-1£) texit 

Router (config) + 


0 4 Para verificar la configuración realizada, no olvide invocar show, acompañado de 
los parámetros correspondientes: utilice la secuencia: show ip nat 
statistics, y acto seguido escriba la orden show ip nat translations. 


Router>enable S 

Routerfshow ip nar statistics 

Total translations: 1 (1 static, O dynamic, O extended) 
FastErhernetO/1 , Serial0/0/0 
FastEthernet0/0 


Expired translations: 0 

Dynamic mappings: 

Routerfshow ip nat translations 

Pro Inside global Inside local Outside local 
— 187.0.0.10 192.168.0.2 - 
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Finalmente nos hace falta ilustrar el proceso de configuración de 
NAT dinámico, para ello, vamos a tomar como base la topología del 
Paso a paso anterior. Solo que esta vez con una pequeña variante: 
pues en lugar de considerarse la asignación de una IP una a una, se 
efectuará por grupo (pool). Una vez aclarado lo anterior, procedamos 
a explorar el siguiente Paso a paso, en el que se ilustra el proceso de 
configuración de NAT dinámico sobre un router CISCO. 


PAP: PROCESO DE CONFIGURACIÓN DE NAT DINÁMICO 


Debe crear un pool de direcciones, nombrarlo y asociarlo al rango de direcciones 

0 proporcionado por su ISP. La declaración dinámica se efectúa con ip nat pool 
[nombre del pool] [IP de inicio] [1P final] netmask 
[mascara de red]. Posteriormente pulse la tecla ENTER. 


inter configuration commands, one per line. End with CNIL/Z. 
Juter (config)tip nar pool USERS 187.0.0.10 187.0.0.20 nermask 265. 
[Router (config) 3] 


Ny FUNCIÓN DE UN POOL 


Un pool de direcciones IP es un grupo de direcciones del servidor DHCP que se crea en una red de área 
local. Se encuentran en estado de alquiler por parte del servidor y todo dispositivo que se conecte tendrá 
alquilada la dirección por un tiempo o hasta que el dispositivo se apague o se desconecte. 
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» 
0 Ahora proceda a definir una Lista de Control de Acceso (ACL) que permita solo 
las direcciones que deban traducirse, y asócielas al pool previamente creado. Para 
esto, utilice el comando access -list. 


Router>enable 
Routertconfigure terminal 

Enter configuration commands, one per líne. End with CNTL/Z. 
Router (config) fip nat pool USERS 187.0.0.10 187.0.0.20 nermask 255| 
Router (config) faccess-líst 1 permit 192.168.0.0 0.0.0.285 

Router (config) tip nat inside source líst 1 pool USERS 

(config) 


0 Acto seguido, determine las interfaces involucradas en dicha configuración. Para 
ello, inicie con la interfaz interna (entrada) y en seguida presione la tecla ENTER. 
No olvide validar la interfaz con el comando ip nat inside. 


Routersenable 
Routertconfigure terminal 

Enter configuration comands, one per line. End with CNTL/Z. 
Router (config) tip nat pool USERS 187.0.0.10 187.0.0.20 netmask 266 
Router (config) faccess-líst 1 permit 192.168.0.0 0.0.0.285 

Router (config) $ip nar inside source list 1 pool USERS 

Router (config) finterface fasterherner 0/0 

Router (config-1f)fip address 192.168.0.1 255.255.265.0 

Router (config-31)fip nar inside 

[Router (config-3£)$n0 shurdown 

Router (config-15) fexic 

Router (config) $ 
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»> 

0 Proceda ahora a configurar la interfaz externa (salida). Al terminar pulse la tecla 
ENTER y acto seguido valide la interfaz esta vez con el comando ip nat 

outside. Para finalizar, guarde la configuración previ; 


Rourer>enable 
Routerfconfigure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 
[Router (config) fip nar pool USERS 137.0.0.10 187.0.0.20 nermask 255.255 
[Router (confíg)faccess-líst 1 permit 192.168.0.0 0.0.0.258 

[Router (config)fip nar inside source list 1 pool USERS 

Router (config) finterface fastetherner 0/0 

[Router (config-3£)$ip address 192.168.0.1 255.255.255.0 

Router (config-1£)$1p nat inside 

[Router (config-1£) tno shutdown 

Router (cons: 
[ñouter (config) finterface fasterherner 0/1 

Router (config-11)41p address 187.0.0.1 255.285.0.0 
[Router (confíg-1£) $ip nar outside 

Router (confíg-1£)$n0 shutdown 

[Router (config-12) texte 

Router (config) textr 

Routers 

[4SYS-S-CONFIG_I: Configured from console by cons: 


0 Para finalizar, verifique la configuración previamente efectuada con la ayuda del 
comando show ip nat statistics, y escriba la orden show ip nat 
translations. No olvide pulsar la tecla ENTER por cada línea tecleada. 


Router>enable 
Routertahow ip nar statistics 
Total translations: 1 (1 static, O dynamic, O extended) 
Ourside Interfaces: FastEtherner0/1 , Seríal0/0/0 
Inside Interfaces: Fastithernet0/0 
Hits: 0 Mi o 
Expired translations: 0 
Dynamic mappinga: 
— Inside Source 
access-1íst 1 pool USERS refCount 0 
pool USAS: nermask 265.285-288.0 
start 187.0.0.10 end 187.0.0.20 
type generic, total addresses 11 , allocated O (04), misses 
hourertshow ip nar translation 


Bro Inside global Insíde local Outside local | 
—— 187.0.0.10 192.168.0.2 — ES 
Routers 
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Traducción de direcciones 
de puertos (PAT) 


PAT (Port address translation - Traducción de 


direcciones de puertos), a menudo conocido como PAT PRESENTA 
NAT sobrecargado, es también un mecanismo VERSATILIDAD 
bastante utilizado con el fin de preservar el escaso 

direccionamiento público y el abaratamiento de Y UN AHORRO 
costos. Frecuentemente es utilizado por muchos CONSIDERABLE DE 
administradores de redes gracias a que presenta 

una enorme versatilidad y también un ahorro DIRECCIONES IP 


considerable de direcciones IP. 


a 77 


A IP Privadas IP Públicas 
<= 10.0.0.1:80 214,93.234.1:8000 
10. 214.93.234.1:8001 
Pci = 10.0.0.3:80 214.93.234.1:8002 


> o s 
= 214.93.234.1 


Figura 12. Aquí se muestra la topología 
tradicional de NAT sobrecargado (PAT). 


www.redusers.com « 


234 DEZA 6. NAT Y PAT 


PAT se encarga de traducir múltiples 


PAT TRADUCE direcciones IP privadas (habitualmente 

DIRECCIONES entregadas mediante DHCP) para posteriormente 
usarlas como una sola dirección de red pública 

PRIVADAS PARA (utilizando diferentes puertos). A menudo, PAT 


USARLAS COMO UNA permite que dicha dirección sea utilizada por 
a varios equipos de la intranet. 
SOLA PUBLICA Para comprender el funcionamiento de la 
topología, decimos que PAT permite que varias 


direcciones públicas sean traducidas en una sola 
dirección de red utilizando diferentes puertos. 


Configuración de PAT 

Para efectuar la configuración de PAT, debemos seguir un 
procedimiento muy similar (en tres pasos) al utilizado para configurar 
NAT. En el siguiente Paso a paso explicamos la forma de configurar PAT. 


PAP: PROCESO DE CONFIGURACIÓN DE NAT DINÁMI 


0 Primero debe definir una ACL que permita solo las direcciones que deban 
traducirse. No olvide asociarlas a una interfaz de salida (NAT sobrecargado o PAT). 


Routersenable 
Routerfconfígure terminal 

Enter configuration commands, one per líne. End with CNTL/Z- 
Router (config) faccess-list 1 permit 192.168.0.0 0.0.0.255 

Router (confíg)fip nat inside source líst 1 interface fastetherner 
Router (cons:g) el 
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0 Ahora defina las interfaces involucradas en dicha configuración. Para ello, inicie 
con la interfaz inside y en seguida presione la tecla ENTER. No olvide validar la 
interfaz con el comando ip nat inside. 


Router>enable 
Routertconfigure terminal 
Enter configuration commands, one per line. End with CNTL/Z. 


Router (config) faccesa-líst 1 permit 192.168.0.0 0.0.0. 
Router (config)$ip nat inside source list 1 interface £i 
Router (config) finterface fastethernet 0/0 

Router (confíg-1£)$1p address 192.168.0.2 255.255.255.0 
Router (config-1f)$1p nat inside 

Router (confíg=1£)$no shutdown 

Router (confíg-1£) fexir 


0 Continúe con la configuración de la interfaz outside. Al terminar presione la tecla 
ENTER y valide la interfaz con el comando ip nat outside. No olvide guardar 
los cambios en la configuración previa. 


Routersensble 
Routerfconfígure terminal 

Enter confíguration commands, one per líne. End with CNTL/Z. 
Router (confíg)faccess-líst 1 permit 197.162.0.0 0.0.0.288 

Router (confíg)fip nat inside source líst 1 interface fastetherner 
Router (config) tánterface fasterhernet 0/0 

Router (config-18) $ip address 192.162.0.2 255.255.255.0 

Router (confíg-18)$1p nat inside 

Router (confíg-1£)fno shutdown 

Router (config-4£) fexit 

Router (config) fínterface fastethernet 0/1 

Router (config-1£)f1p address 187.0.0.2 255.255.285.0 

Router (config-1£)$1p nar inside 

¡Router (config-1£) $no shutdown 

Router (config-11) fexir 
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Como pudimos observar hasta este momento, la configuración 
efectivamente es bastante parecida a la que se presenta mediante el 
uso de NAT, con la única diferencia de que, al iniciar, debe declararse 
una Lista de Control de Acceso y asociarla a PAT con ayuda del 
parámetro overload (sobrecargado). 


Router>enable 
Routertshow ip nat ? 
statistics Translation statistics 


translations Translation entries 
Routertshow ip nat 


Figura 13. Para verificar la configuración NAT, es necesario 
utilizar el comando show ip nat [argumentos]. 


Verificación de NAT y PAT 


Recordemos que para verificar la información previamente efectuada 
en los routers, debemos recurrir al comando show. En la siguiente 
tabla, se muestra un resumen de los comandos más usados para la 
verificación de NAT y PAT: 


LA FUNCIÓN DEL ISP 


Como sabemos, un Proveedor de Servicios de Internet (ISP - Internet Service Provider) es una orga- 
nización que brinda el servicio de conexión a internet a sus clientes. De esta forma, un ISP se encarga 
además de proporcionar rangos de direcciones de red a cualquier entidad que desea conectar un grupo 


de computadoras con acceso a internet. 
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TABLA 2: VERIFICACIÓN DE CONTENIDOS NAT Y PAT 


y COMANDO y DESCRIPCIÓN 


Tabla 2. Verificación de NAT y PAT. 


"114 


a RESUMEN 


Como pudimos apreciar, el mecanismo de traducción tanto de direcciones de red como de puertos es, 
a menudo, utilizado por los administradores de redes con el fin de optimizar el direccionamiento IP. Hoy 
en día existen diversas formas de implementación, las cuales han sido creadas para solventar cualquier 
necesidad en cuestión con la traducción de direcciones: estáticas, dinámicas y de sobrecarga (PAT). 
En el siguiente capítulo abordaremos el tema DHCP. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


Explique en qué consiste la traducción de direcciones de red. 

¿Cuáles son los tipos de direcciones de red que existen? 

Mencione por lo menos tres rangos de direcciones privadas. 

¿En qué consiste una dirección local externa? 

¿Cuáles son los tipos de implementación de NAT? 

Mencione la secuencia de comandos utilizados para configurar NAT estático. 
¿Cuáles son los pasos para efectuar la configuración de NAT dinámico? 


¿Cuál es la secuencia de comandos para verificar una configuración de NAT? 


0 0 O 9d 2 Un 


Explique en qué consiste una intranet. 


. 
o 


¿En qué consiste el mecanismo de traducción PAT? 


EJERCICIOS PRÁCTICOS 


Obtenga la dirección de red privada de su equipo personal y anótela. 


Realice una tabla con los rangos de direcciones IP privadas existentes. 


Ingrese a www.cual-es-mi-ip.net y tome nota de su dirección pública. 


Efectúe la configuración de NAT estática desde su router CISCO. 


0d Ra on 


Describa el funcionamiento del comando show ip nat statistics y efectúe la 
verificación de la configuración realizada en el punto cuatro. 


n vuv 
PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorUVredusers.com 
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Servicio 
DHCP 


OSI 


En este capítulo veremos la definición, las características 


y el funcionamiento del servicio DHCP en las redes CISCO. 


Abordaremos cómo asignar un pool de direcciones desde un 


servidor para el abastecimiento de IP dinámicas a los clientes 


de la red. Para finalizar, conoceremos la configuración del 


cliente — servidor DHCP desde un router CISCO y el uso de un 


router como Proxy DHCP. 


v Introducción a DHCP ............240 


v Asignación de direcciones 


Topología cliente - servidor ..... 


y Configuración del router 


Configuración de DHCP server ...... 247 
Configuración de DHCP client 251 
252 
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Introducción a DHCP 


El protocolo de configuración dinámica de host, o DHCP (Dynamic 
host configuration protocol), consiste en un protocolo de red estándar, 
el cual se describe a detalle en el RFC-2131 (www.ietf.org/rfc/ 
rfc2131.txt). DHCP, a menudo, es conocido como un protocolo de 
configuración de servidores (servers), cuyo objetivo principal se centra 
en simplificar la administración de redes muy grandes. 

DHCP o protocolo de configuración dinámica es un protocolo de red 
que permite a los usuarios de una red de datos obtener parámetros de 
configuración automática. El uso de DHCP es altamente recomendado 
para organizaciones que desean implementar redes muy amplias. 


Figura 1. A través del link www.ietf.org/rfc/rfc2131.txt 
podemos verificar información concerniente a DHCP. 


De manera específica, DHCP permite obtener una dirección 
IP (acompañada de su máscara de red y su puerta de enlace 
correspondiente) que finalmente será asignada a cada dispositivo 
conectado a la red de datos. Dicho protocolo se basa en un modelo 
cliente - servidor, en el que por lo general un servidor posee una 
base de datos de direcciones IP dinámicas y las va asignando a los 
host cliente conforme éstas van quedando libres. El protocolo DHCP, 
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por lo general, asigna al cliente una dirección 


de red por un determinado período de tiempo. LOS ROUTERS 
Este parámetro es a menudo configurado por el CISCO ACTUALES 
administrador de redes desde su servidor. 

Hoy en día, los routers CISCO tienen INCORPORAN LA 


incorporada la funcionalidad de cliente y servidor FUNCIÓN DE CLIENTE 
DHCP. Estos poseen también la capacidad de 


actuar como dispositivos Proxy (conocidos Y SERVIDOR DHCP 
como servidores Proxy), enviando respuesta 

a las solicitudes requeridas por los clientes y y 
DHCP al servidor residente en la red. El router a menudo convierte 


el broadcast local de petición de un cliente DHCP en un paquete 
unicast y lo envía al servidor DHCP. 


Broadcast e 3 Unicast 


1841 


Laptop - PT RouterO Ñ - 


Cliente Server - PT 
Servidor 


Figura 2. Los routers CISCO incorporan 
la funcionalidad de cliente y servidor. 


Para que no exista duda con respecto a lo expuesto con anterioridad, 
es necesario conocer la definición de servidor Proxy: consiste en un 
equipo intermediario situado entre el sistema del usuario e internet. 


1) DHCP CON SOFTWARE LIBRE 


Internet software consortium desarrolla servidores DHCP en el mundo del software libre. Este es el 
servidor DHCP más usado y uno de los que mejor cumple las RFC. La última versión en fecha es la 3.0, 
pero aún es una versión beta. Una de las principales innovaciones en esta versión es la posibilidad de 


actualizar en forma dinámica un DNS de acuerdo a las IP proporcionadas por el servidor DHCP. 
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Es importante considerar que a menudo funcionan 


EL SERVIDOR como cortafuegos (más conocidos como firewall) 
PROXY SE y también como filtro de contenidos. 

En este sentido, el servidor Proxy representa 
PRESENTA COMO por lo general un mecanismo de seguridad 
UN MECANISMO DE que ha sido implementado por el ISP o por los 


administradores de la red en un entorno de 


SEGURIDAD DEL ISP intranet, esto se presenta con el fin de realizar la 


A 


desactivación del acceso a ciertas sedes web (las 

cuales generalmente poseen contenido ofensivo 
o inadecuado para el usuario de la red de datos). Más adelante, en este 
mismo capítulo, hablaremos en detalle sobre el uso de un router como 
un dispositivo Proxy DHCP. 


= Asignación de 


direcciones de red 


Aunque se sabe que la administración de las direcciones IP puede 
efectuarse en algunas ocasiones desde un sistema operativo modo 
server (como en el caso de Windows o GNU-Linux), debemos tener 
presente que esta tarea también puede llevarse a cabo sobre el 
propio 1OS de un router, tal y como veremos más adelante en el tema 
Configuración del router. 


ve sm 
a 


o it 
A 
0 


e a ES 0 do Pa o 
ia ad má o 


hna [O 


at [a Y to] 


Figura 3. En la práctica, el servicio DHCP 
es muy utilizado en servidores Windows. 
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Topología cliente - servidor 

Con el fin de ilustrar la forma en que se asignan direcciones de red 
dinámicas (DHCP) en una arquitectura cliente-servidor tradicional, 
vamos a emplear como ejemplo una topología desarrollada en el propio 
Packet Tracer de CISCO. Esta esquematización tiene como propósito 
mostrarnos el proceso de configuración de un servidor físico (en el 
que puede existir un sistema operativo Windows o GNU-Linux Server 
instalado) y sus respectivos clientes. 


IP: 10.1.233.0/24 
. 


Switch - PT 

Empty - SO =— 

Server - PT 
Servidor 


A IP: 10.1.233.254 
É MR: 255.255.255.0 
e 


Gateway: 10.1.233,254 
Laptop - PT PC-PT DNS: 148.204.235.2 


Pco3 PCO5S 


Figura 4. Topología tomada como base 
para efectuar la configuración cliente — servidor DHCP. 


Como podemos ver en la imagen recién presentada, dicha topología 
se encuentra conformada por cinco computadoras, un switch y 
un servidor. Con fines prácticos, vamos a comenzar configurando 
el servidor y posteriormente cada uno de nuestros clientes (cinco 
computadoras) desde Packet tracer. Este proceso se ilustra y comenta 
en detalle en el Paso a paso que mostramos a continuación: 
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PAP: PROCESO DE CONFIGURACIÓN DEL SERVICIO DHCP 


0 Debe asignar una dirección IP estática al servidor. Esta tarea se efectúa en 
Packet Tracer dando clic sobre el ícono del servidor presente en la topología. 
Diríjase a Desktop y haga clic sobre la opción IP configuration. 


0 Escriba la dirección IP estática de su elección, la máscara de red, su gateway 
y un DNS válido. Finalice cerrando la ventana actual. 


10.1.233.254 
255.255.255.0 
10.1.233.254 
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0 Continúe presionando la pestaña Config, y enseguida pulse la opción DHCP 
ubicada a la izquierda de la ventana actual. Llene los datos solicitados: nombre 
del pool, gateway, DNS, rango del pool, número máximo de usuarios, etcétera. 


| 
Dota Gate 101.211 344 
DS Sar 20D 


TUTO arar: 0000 
ac0 €. 
¡rocl e Defad Gat O Ser Start 1 Sutra Has TETP | 


0 Haga clic sobre PCO1. Presione IP configuration y seleccione DHCP. Espere 
un par de segundos (en los que notará que se ha establecido un direccionamiento 
válido de modo dinámico). Efectúe este proceso en las PC restantes. 
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» 
Ha llegado el momento de comprobar la configuración realizada previamente. 
0 Para ello, seleccione una de las PC de la topología (PC origen) y haga clic sobre 
su respectiva pestaña Command prompt. Realice ping colocando la dirección 1P 
de la PC destino. Continúe con este proceso en cada equipo. 


ecos = 
Physical | Config. Docktop | Goftware/Services 


¡Command Prompt 


a Configuración del router 


Recordemos que la configuración del servicio DHCP en un router 
CISCO, en general, se efectúa tanto a nivel servidor como también 
a nivel cliente, siguiendo la misma lógica que en la expuesta en una 
topología cliente — servidor tradicional, solo que en esta ocasión se 
realiza a través del uso de comandos. 


(1) SCOPE 


Un scope es definido como un rango válido de direcciones IP que se encuentran disponibles para su uso 


1444 


en equipos cliente de una red. El scope habitualmente es configurado desde el servidor DHCP, el cual 


determina el pool de direcciones IP que el servidor puede proporcionar a los clientes DHCP. 
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Es necesario tener en cuenta que todo router es capaz de incluir 
dichas funcionalidades; nos ofrece la posibilidad de administración 
y configuración de interfaces, por las cuales viajan los paquetes (de 
direccionamiento) para su posterior asignación. 

Para ilustrar el proceso de configuración de un router para la 
asignación de direcciones IP a un conjunto de dispositivos finales 
en una red, analicemos la siguiente topología, la cual nos servirá de 
base para atender la configuración de DHCP server y DHCP client, 
respectivamente, descritas más adelante en el tema correspondiente: 


IP: 10.1,233.254 

MR: 255.255.255.0 
Gateway: 10.1.233.254 
DNS: 148.204.235.2 


Router - PT 
Empty - SERVER 


Router - PT 
Empty - R3 


Switch - PT 
Empty - SW 


Router - PT Router - PT 
Empty - R1 Empty - R2 
o o ¿ 


Figura 5. Esta imagen ilustra la topología para 
la configuración de un router como cliente y servidor DHCP. 


Configuración de DHCP server 

le saber que en la mayoría de los routers, la función conocida 
como server DHCP viene habilitada en forma predeterminada (en caso 
contrario debemos efectuar su activación). 

La configuración del servicio DHCP sobre un servidor requiere 
que realicemos la aplicación de algunos parámetros de configuración 
elementales, los cuales se describen en el Paso a paso que 
presentamos a continuación: 
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PAP: PROCESO DE CONFIGURACIÓN DE DHCP SERVER 


0 


Primero es necesario configurar la interfaz de salida del router. Para ello invoque 
el comando interface [tipo - Número 1D] y guarde la configuración. 


Rcutervenable 
[Routertconfígure terminal 


Router (config) finterface fasterhernez 0/0 
Router (config-12)31p address 10.1.233.254 255.256.265.0 
[Router (confíg-1£) $no shutdown 

[Router (config-12) texit 

Router (config) 4 


Enter configuration commands, one per line. End with CWIL/Z. 


0 


Ahora habilite DHCP, invoque el comando servide DHCP desde el modo de 
configuración global. Coloque un nombre válido del pool DHCP. Esto se consigue 


con ip dhcp pool y en seguida el nombre que quiera asignar. 


Router>enable 
Routertconfígure terminal 


Router (config) finterface fasterherner 0/0 
Router (confíg-18)f1p address 10.1.233.254 255.265.285.0 
Router (confíg-18)fn0 shutdown 

Router (confíg-1£) fexit 

Router (config) fservice dhcp 

Router (config) fip dhcp pool USERS 

Router (dhep-config)$ 
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03 Continúe especificando la red principal donde obtendrá el rango de las direcciones 
IP utilizadas. Lo anterior se efectúa mediante el comando network 
[dirección IP][máscara de red]. Enseguida presione la tecla ENTER. 


Routerenable 
Routertconfígure terminal 
Enter configuration comands, 
Router (config) finterface fastethernet 0/0 

Router (confíg-1£) 8ip address 10.1.233.254 255.255.255-0 
Router (confíg-1£) fno shutdown 

Router (config-3£) fexir 

Router (config) fservice dhcp 

Router (config) ip dhcp pool USERS 

Router (dhcp-config) fnerwork 10.1.233.0 255.255.266.0 
Router (dhep-con££g) $ 


one per line. End with CNTL/Z 


0 Defina la puerta de enlace o gateway. Utilice default-router [IP del 
gateway]. Acto seguido, presione la tecla ENTER. Es necesario saber que si se 
cuenta con un DNS, lo podemos incluir debajo del gateway. 


[froutertconfigure terminal 
línter configuration commands, one per line. End with CNTL/Z 
Router (config) finterface fasterherner 0/0 
outer (config-1£)$ip address 10.1.233.254 255.285.255.0 
¡confíg-1£)fn0 shutdown 


[router (dhep-config) texir 
[router (contig) + 
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Router>enable 
[Routertconfigure terminal 


Entez configuration comands, one per line. End with CNTL/Z. 


Router (config) finterface fasterherner 0/0 
[Router (config-15) 31p address 10.1.233.254 255.255.265.0 
Router (config-1£)3no shutdown. 

[Router (config-12) texit 

[Router (config) faervíce dhcp 

[Router (config) £íp dhcp pool USERS 

[Router (dhcp-config) fnerwork 10.1.233.0 255.255.255. 
Router (dhcp-config)fdefault-router 10.1.233.254 

[Router (dhcp-config)tdns-server 148.204.235.2 

[Router (dhcp-config) texte 

[Router (config) fíp dhcp excluded-address 10.1.233.254 
[Router (config) fexiz 

Routers 

SSYS-5-CONFIG_I: Configured from console by console 
Routers 


Router>enable 
Routerfahow ip dhcp binding 
1P addres: Client-1D/ 

Hardware address 
10.1.233.1 0030.0C40.0833 - 
10.1.233.2 000A.415B.421A 
10.1.233.3 0001-9715.13C8 - 
Router! 
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Para finalizar con dicha configuración es necesario que proceda excluyendo las 
direcciones IP que no serán otorgadas por DHCP. Utilice ip dhcp excluded- 
address [rango IP inicio - rango IP final]. 


Por último verifique la configuración previa, puede hacer uso del comando show, 
Para ello utilice el comando show ip dhcp binding. Posteriormente será 
necesario que presione la tecla ENTER. 
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En cuanto a lo anterior, es necesario tomar en consideración que la 
orden ip dhcp excluded-address puede ser empleada también para señalar 
la IP del host excluido. Desde luego que una de esas direcciones de red 
debe ser igual a la asignada para gateway (o dirección IP del servidor). 


Configuración de DHCP client 

Para que un router pueda obtener dinámicamente la dirección IP de 
una o varias interfaces, estas deben estar configuradas como clientes 
DHCP. Para iniciar la configuración de dichas interfaces, es necesario 
invocar el comando que ya conocemos: interface [tipo - Número ID] y 
en seguida la orden ip address dhcp. Recordemos que para habilitar las 
interfaces debemos teclear la orden no shutdown. 


Router>enable 

Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config)tinterface fastethernet 0/0 

Router (config-i£)$ip address dhcp 

Router (config-1£)$no shutdown 

Router (config-1£)fexit 

Router (config) $| ) 


Figura 6. En esta imagen se muestra 
la configuración DHCP de un cliente en la red. 


Ho) SERVIDOR DHCP DESDE WINDOWS 


Windows 2008 Server proporciona las herramientas elementales para comenzar a trabajar con el ser- 
vicio DHCP. Esta tarea tendrá efecto siempre y cuando sea agregado el rol o la función correspondiente: 
servicio DHCP. Este es habitualmente invocado desde el administrador del servidor de Windows Server. 
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Verificación DHCP server y client 
Otros comandos que podemos emplear para verificar los datos 
previamente introducidos se describen en la siguiente tabla: 


TABLA 1: VERIFICACIÓN DE DHCP 


y COMANDO y DESCRIPCIÓN 


Tabla 1. Verificación de DHCP server y client. 


Configuración del Proxy DHCP 

En esta sección vamos a configurar el router para su uso como 
Proxy DHCP. Para efectuar esta tarea, utilizaremos el comando ip 
helper-address [ip del servidor DHCP]. Esta orden se encarga de designar 
la IP del servidor DHCP en la funcionalidad Proxy, además de permitir 
que se envien grandes cantidades de broadcast UDP, las cuales tienden 
a filtrarse según se haya establecido en la configuración previa. 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router (config) finterface fastetherner 0/0 

Router (config-1£)$ip helper-address 192.168.1.254 

Router (config-1£)$no shutdown 

Router (config-1£) $exit 

Router (config)+ 


Figura 7. Ejemplificación del uso de la orden ip helper-address. 
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Para realizar la configuración de direcciones dinámicas mediante 
el servicio DHCP, hoy en día se hace uso de múltiples comandos, 
entre los que encontramos órdenes de prueba, administración y 
actualización. En la siguiente tabla haremos mención de algunos 
comandos que se pueden utilizar en dicho ámbito: 


TABLA 2: COMANDOS AUXILIARES DHCP 


y COMANDO y DESCRIPCIÓN 


Tabla 2. Lista de comandos auxiliares DHCP. 


uuv 


a RESUMEN 


Sin duda alguna, el servicio DHCP se ha convertido en el favorito de muchos administradores de red, 
pues gracias a su gran escalabilidad y versatilidad, hace posible, entre otras cosas, minimizar los errores 
que se producen en las configuraciones manuales al duplicarse las direcciones de red, sobre todo si 
se trata de compañías muy grandes o en vías de crecimiento. En este capítulo, pudimos atender dos 
perspectivas de configuración del servicio DHCP: en primer lugar desde una red cliente - servidor 
tradicional y también desde un router CISCO. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


Explique en qué consiste el servicio DHCP. 

¿En qué consiste una arquitectura cliente - servidor? 

¿Qué función cumple un Proxy DHCP en una red de datos? 

¿Qué comando debemos usar para activar el servicio DHCP desde un router? 
¿Cuáles son los parámetros para efectuar la configuración DHCP server? 
¿Para qué sirve el comando ip dhcp excluded-address? 

¿Cuál es el propósito de la orden show ip dhcp binding? 


Mencione el comando utilizado para configurar un Proxy DHCP. 


0 0 O 9d a Un 


¿En qué consiste el servicio DNS? 


. 
o 


¿Cuál es la sintaxis del comando lease en el ámbito del servicio DHCP? 


EJERCICIOS PRÁCTICOS 

1 Abra un explorador web y consulte información referente al servicio DHCP desde 
el siguiente portal: www.ietf.org/rfc/rfc2131.txt. 

2 Monte una topología cliente — servidor sobre Packet Tracer. 

3 Efectúe la configuración de un servidor y un cliente desde un router CISCO. 


4 Ponga en práctica el funcionamiento de los comandos: show ip dhcp database 
y show ip dhcp server statistics. 


5 Realice una lista de los comandos vistos en el presente capítulo. 


n vuv 
PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorUVredusers.com 
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Redes privadas 
virtuales (VPN) 


En este capítulo conoceremos definiciones elementales para 
comprender la arquitectura y el funcionamiento de las redes 
privadas virtuales (VPN). Ofreceremos también la explicación 
tanto del proceso de configuración de una VPN site to site 


como el modo de encriptación a través de un túnel GRE. 


v Introducción a VPN. 


VPN de router a router. 


w ¿Cómo funciona una VPN? ...258 Resumen. 
Seguridad IP cifrada ..... 


v Actividades... 


w Proceso de configuración 
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= Introducción a VPN 


Actualmente es común que la mayoría de las empresas se vean en 
la necesidad de comunicarse con algunos asociados, clientes remotos 
e incluso sucursales de las mismas u otras compañías a través de 
internet. Desafortunadamente, la utilización de este medio implica 
estar sujetos a una gran cantidad de riesgos o ataques (espionaje 
o escuchas, robo de identidad, intervención o secuestro de líneas, 
sabotajes, malware, etcétera), pues a menudo los datos transmitidos 
son mucho más vulnerables que cuando viajan por una red interna 
(privada) de la organización. Una alternativa para evitar problemas 
de esta naturaleza consiste en utilizar internet como medio de 
transmisión con un protocolo de túnel (del cual hablaremos más 
adelante, en el tema Funcionamiento de VPN). Para ello suelen 
utilizarse las redes privadas virtuales o VPN (Virtual Private Network). 

Una VPN consiste en una red que se construye dentro de una 
infraestructura de red pública (internet) y que, por lo general, es 
empleada por ciertas compañías con el único fin de procurar una 
conexión segura, tanto a sus oficinas como a los usuarios remotos 
que las conforman. 


Red interna A Red interna B 


Túnel (datos) 


Figura 1. Una VPN establece una conexión 
entre dos redes privadas a través de una red pública. 
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Las VPN establecen topológicamente una conexión entre dos redes 
privadas tomando como base una red pública. A menudo nos brindan 
una conexión segura a un bajo costo (se reducen costes de ancho de 
banda de WAN, mientras se aumentan las velocidades de conexión al 
usar la conectividad a internet de ancho de banda elevado, tales como 
DSL, ethernet o cable). 

La creación de una VPN, a menudo, implica una previa configuración 
(mediante sistemas de seguridad de cifrado) y la adaptación de 
equipo físico (hardware) en ambos extremos. El tipo de hardware 
al que habitualmente se recurre pueden ser servidores o routers. 

Más adelante, en el tema Proceso de configuración de una VPN, 
conoceremos la forma de configurar una VPN creando túneles de 
encriptación desde un router CISCO. 


Figura 2. La adecuada preparación del 
hardware es la clave para el funcionamiento de una VPN. 


ES ROUTER ASEQUIBLE 


El RV180 Router Cisco es un dispositivo asequible, fácil de usar, que combina la conectividad de red de 


alto rendimiento. Estos dispositivos incluyen gigabit ethernet, calidad de servicio, soporte IPv6 y seguridad 


avanzada, las características necesarias para construir con éxito la red de pequeñas y medianas empresas. 
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Actualmente existen en el mercado algunas soluciones integrales 
contra escuchas, malware y todo lo relacionado con el rubro de la 
seguridad informática y las VPN (dirigidas inclusive para el usuario). 
Estas aplicaciones pueden ser descargadas desde la web del fabricante 
para después ser configuradas de manera manual y así garantizar un 
ambiente de seguridad. Existen soluciones gratuitas y de pago. Para 
conocer algunos ejemplos, podemos consultar las siguientes páginas: 
www.spotflux.com, www.tunnelbear.com, www.hotspotshield.com, 
WWW.proxpn.com. 


Get your guard up 


eta pecan bj 


Figura 3. Las soluciones VPN que se ofrecen en internet 
se basan en servidores VPN para garantizar un ambiente seguro. 


= ¿Cómo funciona una VPN? 


Como hemos mencionado hasta este momento, una red privada 
virtual se basa en un protocolo denominado protocolo de túnel. Este 
protocolo consiste en cifrar o encapsular los datos que se transmiten 
desde un lado de la VPN hacia el otro. 

De aquí se desprende el origen de su funcionamiento, el cual nos 
permite deducir que una VPN cuenta con dos extremos, los cuales 
buscan comunicarse de manera segura. 
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Central Argentina 


Túnel VPN 
Encriptación de datos 


Sucursal Chile Sucursal México 


Figura 4. Los datos transmitidos de extremo a extremo 
en una VPN serán encriptados mediante un protocolo de túnel. 


Derivado de lo anterior, podemos expresar que todas las VPN 
utilizan algún tipo de tecnología de encriptación, la cual se encarga 
de empaquetar los datos que son transmitidos de manera segura, 
esto para su posterior envío por la red pública, pues a menudo 
nos permite realizar la protección de los datos que son transportados 
de un extremo a otro de la conexión de red. 
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El término túnel se emplea para representar el hecho de que los 
datos estén cifrados desde el momento en que entran a la VPN hasta 
que salen de ella y, por lo tanto, son incomprensibles para cualquiera 
que no se encuentre en uno de los extremos de la VPN (equipos 

conectados a un servidor o router); es como si 
los datos viajaran realmente a través de un túnel. 
CUANDO EL PAQUETE Cuando los datos llegan a su destino, el paquete 


LLEGA A SU DESTINO original es desempaquetado y vuelve, así, a su 
» 
estado original. Actualmente contamos con varias 


SE DESEMPAQUETA soluciones para la implementación de túneles 

Y VUELVE A SU (tunneling): dos de las más conocidas son GRE 
(Generic Routing Encapsulation) e IPSec, de las 

ESTADO ORIGINAL cuales hablaremos más adelante en este capítulo. 


Otro término de relevancia que a menudo nos 
hy hy vamos a encontrar al estar trabajando con VPN es 
autenticación. Se trata de un método que solicita al usuario o entidad 
las credenciales correspondientes para comenzar con el proceso de 
formación de un túnel de encriptación de datos. 

Al trabajar con VPN, normalmente se emplea un sesión de 
autenticación, la cual es similar al sistema de inicio de sesión tradicional 
(en el que se solicita nombre de usuario y contraseña), con la diferencia 
de que tanto las políticas como las medidas de seguridad presentan un 
nivel más elevado de protección en la validación de identidades. 

Para tener acceso a la interfaz gráfica de la sesión de autenticación, 
basta con ingresar a un navegador web y escribir la dirección IP del 
router con el que nos vamos a comunicar. 

La sesión de autenticación se lleva a cabo generalmente de manera 
aleatoria, esto con el fin de asegurar que no haya un tercer participante 
que pudiera entrometerse en la conversación. 


LOS PRINCIPALES PROTOCOLOS DE TÚNEL 


PPTP (Protocolo de Túnel Punto a Punto) es un protocolo de capa 2 desarrollado por Microsoft, 3Com, 
Ascend y ECI Telematics. L2F (Reenvío de capa dos) es un protocolo de capa 2 desarrollado por Cisco, 
Northern Telecom y Shiva. IPSec se presenta como un protocolo de capa 3 creado por el IETF que puede 


enviar datos cifrados para redes IP. 
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Figura 5. Las sesiones de autenticación 
VPN son utilizadas para ofrecer un acceso seguro de conexión. 
Seguridad IP cifrada 
Una red privada virtual, por lo general, 
proporciona el máximo nivel de seguridad UNA RED 
posible a través de sistemas conformados por PRIVADA VIRTUAL 
un conjunto de protocolos y algoritmos de 
seguridad diseñados para proteger el tráfico de PROPORCIONA EL 
red. Ejemplos de este tipo de sistemas o modos MÁXIMO NIVEL DE 
de encriptación son el conocido sistema VPN 
IPSec (Protocolo de Internet Seguro) y el modo SEGURIDAD POSIBLE 


GRE (Encapsulamiento Genérico de Ruteo). 


Sistemas de cifrado 

El sistema que integra los protocolos de IPSec actúa en la capa 
número 3 del modelo OSI. Este sistema emplea por lo regular dos 
protocolos que han sido desarrollados originalmente para proporcionar 


7) 


seguridad a nivel de paquete (tanto para IPv4 como para IPv6); estos son: 


+ Authentication header (AH): como su nombre lo indica, posee un 
sistema de autenticación en el encabezado del paquete IP, lo que 
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hace posible tanto la integridad, como el envío correcto de los datos 
al destino que corresponde. 

+ Encapsulating security payload (ESP): es altamente utilizado 
por muchos administradores. Estos protocolos proporcionan 
confidencialidad además de la opción de autenticación y protección 
de integridad de la conexión y los datos. 


Derivado de lo anterior, podemos citar que IPSec a su vez cuenta con 
dos modos de operación: modo transporte y modo túnel. Cualquiera de 
ellos hace uso del protocolo AH o ESP para el envío de datos seguros. 


IPSec modo transporte 


virtual ESP 0 AH 


Servidor 


1841 1841 1841 


IPSec modo túnel 


Conexión virtual ESP 0 AH 


Figura 6. Diferencia entre los modos de operación de un sistema IPSec, 


Otro sistema conocido y aplicado por muchos administradores de 
redes es GRE, mediante el cual los routers a menudo se encargan de 
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cifrar los paquetes IP con esta etiqueta, para 


después enviarlos por la red hacia el router de EL ULTIMO 

destino (situado al final del túnel), entonces ROUTER DESCIFRA 

este último router se encarga de descifrar los 

paquetes quitándoles la etiqueta GRE y dejándolos LOS PAQUETES 

listos para encaminarlos localmente. QUITÁNDOLES LA 
Es habitual que los routers comiencen con 

el proceso de segmentación de paquetes con el ETIQUETA GRE 


fin de enviarlos a través del túnel, esto se debe 

básicamente a que su tamaño excede la Unidad de 

Transmisión Máxima (MTU) que estos soportan. Si en algún momento nos 
vemos en la necesidad de contar con un apoyo adicional de interconexión 


IP avanzada, al mismo tiempo en que se mantiene una conexión segura a 
través de la red pública, la solución es ejecutar GRE sobre IPSec. 


VNP = Canal de 
comunicación seguro 
a través de Internet 


Encriptación = Nadie en 
Intemet puede averiguar 
el contenido de la 
comunicación 
GRE o IPSec 


Figura 7. IPSec y GRE son modos de cifrado 
empleados en la configuración de una VPN. 


Tipos de VPN cifrada 

Los algoritmos criptográficos definidos para el uso de IPSec deben 
incluir siempre HMAC-SHA1 para garantizar la integridad y AES- 
CEC, para confidencialidad. No olvidemos que tanto la autenticación 
como la encriptación (aunque se usan en ámbitos distintos) están 
estrechamente relacionadas, por lo que al trabajar con IPSec se 
recomienda el uso tanto de AH como de ESP. 
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Es necesario considerar que otros sistemas 


EN LA ACTUALIDAD, que pueden tenerse en cuenta para mantener 
EN EL CAMPO CISCO, un nivel de seguridad aceptable en la red son 
los siguientes: túneles VPN SSL (Secure Sockets 
CONTAMOS CON Layer) y también las tecnologías de autenticación. 
DOS TIPOS DE VPN En este sentido, dentro del campo de las 
telecomunicaciones CISCO, en la actualidad 
CIFRADAS contamos con dos tipos de VPN cifradas, las 


cuales mencionamos y detallamos a continuación: 


hy hy + VPN IPSec de sitio a sitio: esta alternativa es idónea para oficinas 
domésticas, o compañías dedicadas al transporte de recursos de la 
red a ciertas sucursales. Su arquitectura es muy simple y a menudo 
es muy empleado por los usuarios y pymes. 
+ VPN de acceso remoto: su arquitectura es más compleja, pues con 
ella se consigue emular el escritorio remoto. Esta modalidad puede 
instalarse utilizando VPN SSL e incluso VPN IPSec. 


Figura 8. En este esquema se muestran los tipos de VPN. 


¡N PROTOCOLOS Y MÁS PROTOCOLOS 


Actualmente existen otros protocolos como IP sobre IP (IP in IP) que utiliza el número 4 de referencia de 


protocolo. Es un protocolo abierto al igual que GRE, con la única diferencia de que GRE ofrece mayor 
flexibilidad particularmente con los routers CISCO. Este último soporta protocolos de capa 3 como IP e 
IPX. GRE no utiliza TCP ni UDP. 
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Proceso de configuración 
de una VPN 


Antes de comenzar con el proceso de configuración de una VPN, 
recomendamos tener conocimientos previos sobre sistemas o modos 
de cifrado, tipos de VPN cifradas, asociaciones de seguridad 
e incluso listas de control de acceso y NAT. 

Para efectos de configuración de una VPN desde un dispositivo 
CISCO, debemos seleccionar primeramente el sistema de cifrado que 
deseamos implementar, consideremos que, en este caso, vamos a 
realizarlo mediante un túnel GRE. 

Veamos el siguiente Paso a paso en el que ilustramos 
detalladamente este procedimiento: 


PAP: PROCESO DE CONFIGURACIÓN DE UNA VP 


0 En primer lugar debe configurar la interfaz física que desea protegerse. Para ello 
utilice el comando interface túnel [Número]. El número que puede asignar 
puede estar comprendido en el rango de O a 2147483647. Después deberá 
presionar la tecla ENTER. 


Router>enable 
Routertconfigure terminal 

Enter configuration commands, one per line. End wíth CNIL/Z. 
Router (config) finterface tunnel 10 

Router (config-1£)$ 
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0 Posteriormente ingrese la dirección IP y su máscara correspondiente a dicha 
interfaz. Para ello, utilice el comando ip address [dirección IP A 
máscara de red]. En seguida presione la tecla ENTER. 


Router>enable 
Routerfconfigure terminal 

Enter configuration commands, one per line. End with CNIL/Z. 
Router (config) tinterface tunnel 10 

Router (config-11) $1p address 192.168.1.1 255.255.255.262 
Router (config-1£)$ 


0 A continuación necesita teclear la dirección 1P de origen del túnel, use tunnel 
source [dirección 1P de origen_tunel]. Ingrese la dirección IP de destino 
del túnel con tunnel destination [dirección IP de destino_tunel]. 


houtersenable 
Routertconfigure terminal 

Enter configuration comanda, one per line. End with CNTL/Z. 
Router (config) tinterface tunnel 10 

Router (config-1£) tip address 192.168.1.1 256.255.265.262 
Router (contíg-1£)ftunnel aource 172.16.1.1 

Router (config-1£)ftunnel destination 172.16.2.1 

Router (config-1£) texiz 

Router (contig)8| 


>»  www.redusers.com 


ROUTERS Y SWITCHES CISCO MEA 267 


Para llevar a cabo la configuración de una red privada virtual, pero 
esta vez de manera completamente gráfica, podemos auxiliarnos de la 
herramienta SDM de CISCO, o en su defecto del emulador de redes 
GNS3 (en el cual podemos incluso instalar SDM). 


salada 


Figura 9. A través de la herramienta 
SDM es posible configurar una VPN completa. 


VPN de router a router 

Como hemos mencionado anteriormente, existe un tipo en particular 
de VPN que nos permite efectuar una configuración punto a punto, la 
cual es definida como VPN de sitio a sitio. 

En este sentido debemos tener en cuenta que la configuración 
que proporcionemos a una VPN de router a router se presenta 
como un claro ejemplo para dicha implementación, pues no 


HA) VPN EN WINDOWS 8 


El cliente VPN en Windows 8, como el propio sistema operativo, ha sido optimizado para dispositivos 
táctiles. Esta optimización permite crear una conexión VPN y conexión a redes corporativas, de un modo 
más rápido y más fácil. El icono de conexión VPN aparece ahora en Ver redes disponibles. 
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olvidemos que, generalmente, una red privada 
virtual o VPN contará con dos extremos y un 
túnel de cifrado de datos situado en este caso 


UNA RED PRIVADA 


VIRTUAL CUENTA 
entre ambos routers. 
CON DOS EXTREMOS En el Paso a paso siguientemostraremos la 
Y UN TÚNEL forma adecuada de efectuar la encriptación de 
un túnel-GRE, revisaremos las indicaciones que 
DE CIFRADO debemos completar y también entregaremos 


Lp” ] 


opciones y datos importantes. 


EO/1-192.16830.254 /24 K0/0-81.171:17126/20 


=> . 
mn 097 
+ 


FEOJO-9145-2333/30 VPN TUNNEL - Between the two sites 


: (Virtual Tunnel) 


1O/1-10.10:10.254/24 10/0-9145.2324 /20 


Figura 10. Aquí vemos la conexión física 
para efectos de configuración de router a router. 


Como mencionamos, para llevar a cabo la tarea de encriptación 
a través de un túnel, en una conexión de router a router, debemos 
completar el procedimiento que mencionamos a continuación. 


PROVEEDOR VPN CONFIABLE 


Es recomendable tener mucho cuidado al momento de querer contratar alguna de estas compañías, pues 
a menudo mucha gente podría estar usando nuestra información para otros medios. www.strongVPN. 


com y www.reliablehosting.com han estado proporcionando servicios de internet desde 1995. 
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PAP: ENCRIPTACIÓN TUNE 


0 El primer paso que debe efectuar para agregar una opción de encriptado es crear 
una política de asociación con su respectiva prioridad. Para ello utilice el 
comando: crypto isakmp policy 100. 


Router>enable 
Routertconfigure terminal 

Enter configuration commands, one per line. 
Router (config) fcrypto isakmp policy 100 
Router (config-isakmp) $ 


0 Posteriormente defina un algoritmo de encriptación. Puede utilizar AES con el 
comando: encryption aes. Puede establecer el algoritmo MD5. 


Router>enable 
Routertconfígure terminal 

Enter configuration comands, one per line. End with CNIL/Z. 
Router (config)fczypto ísakmp policy 100 

Router (config-isakmp) fencz aes 256 

Router (config-isakmp) $ 
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0 La forma de expresar el nuevo algoritmo de encriptación (MD5) es mediante 
el uso de la orden hash md5. En seguida presione la tecla ENTER y establezca 
un tiempo de negociación. Finalmente presione la tecla ENTER. 


'kmp policy 100 
kmp) hash mdS 
Kkmp) $ lifetime 26400 


0 Por último, establezca una autenticación compartida mediante el comando: 
authentication pre-share y defina el número de un grupo, para el cual 
puede considerar los valores 1, 2 y 5 (previamente definidos). 


[Router (config)fcrypto isalmp policy 100 
Router (config-isakmp) tener aes 256 

[Router (config-1sakmp) fauthentication pre-share 
Router (config-isakmp) fgroup 2 

Router (config-isalmp) $ 


>»  www.redusers.com 


ROUTERS Y SWITCHES CISCO 


Al definir un algoritmo de encriptación, 
se puede elegir entre tres posibles grupos 
de bits definidos: 128, 192 y 256 bit keys. 
Notemos también que al definir una política de 
asignación de seguridad, debemos establecer 
un valor numérico de prioridad, el cual puede 
estar comprendido entre 0 y 10000, siendo este 
último valor el de mayor prioridad. 

Otro aspecto que vale la pena analizar tiene 
su origen en el punto número 2 del Paso a paso 


271 


PARA UN ALGORITMO 
DE ENCRIPTACIÓN 
PODEMOS ELEGIR 
ENTRE TRES 
GRUPOS DE BITS 


anterior. Notemos que al definir un algoritmo de encriptación, en 
este caso MD5, debemos establecer un valor entre 0 y 86400, el cual 
establece un tiempo de negociación dentro del algoritmo. 


Mapas criptográficos para una VPN 
Con el fin de que nuestros dispositivos de red trabajen de la manera 


más eficientemente posible, debemos definir algo que se conoce con 
el nombre de mapas criptográficos. Al ser implementados sobre 
routers, a menudo tienden a mejorar en su desempeño, además de 
permitirnos administrar de manera óptima las aplicaciones. 


Router>enable 
Routerfconfigure terminal 


Enter configuration commands, one per line. End with CNTL/Z. 

Router (config)fcrypto map EJEMPLO-MAPA 10 ¿psec-isakmp 

% NOTE: This new crypto map will remaín disabled until a peer 
and a valid access list have been configured. 


Router (config-crypto-map)fser peer 172.16-1.1 


Router (config-crypto-map)fser transform-set TUNEL-TRANSFORM 


Router (config-crypto-map)fmarch address 100 
Router (config-crypto-map) fexit 


Router (config)faccess-líst 100 permit gre host 172.16.2.1 host 172.16.2. 


Router (config)finterface tunnel 20 


Router (config-4£)$ 


ALINK-S-CHANCED: Interface Tunnel20, changed state to up 


Router (config-1£) terypto map EJEMPLO-MAPA 
Router (config-1£) $ 


Figura 11. Configuración de un mapa criptográfico 
sobre un router para efectos de una red VPN. 
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Las entradas de los mapas criptográficos deben contener cuando 
menos una ACL extendida, los mapas deben tener identificado 
un router par, debe existir una negociación con el modo IPSec 
y finalmente aplicar dicho mapa a una interfaz válida. 


Verificación de una VPN 

Para efectos de verificación de una VPN previamente configurada, 
emplearemos, como es costumbre, la orden show acompañada de sus 
correspondientes parámetros. 


TABLA 1: COMANDOS PARA LA VERIFICACIÓN DE UNA VPN 


y COMANDO y DESCRIPCIÓN 


Se encarga de mostrar asociaciones de seguridad, como el caso de 
show crypto [isakmp sa | ipsec sa] ISAKMP (Internet Security Association Key Management Protocol) o 
políticas IPSec. 


Muestra la información correspondiente a cada uno de los túneles 
creados. 


show tunnel 


Tabla 1. Lista de comandos de verificación de una VPN. 


Como podemos observar, existen diferentes parámetros que se 
pueden incluir al momento de hacer la verificación de la configuración 


ISAKMP 


Internet Security Association and Key Management Protocol (ISAKMP) es un protocolo criptográfico que 
constituye la base del protocolo de intercambio de claves IKE. Está definido en el RFC 2408. ISAKMP 
define los procedimientos para la autenticación entre pares, creación y gestión de asociaciones de segu- 


1144 


ridad, técnicas de generación de claves y la mitigación de la amenaza. 
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de una VPN. Esto va a depender lógicamente de lo que deseamos 
conocer. Ante cualquier duda derivada de los comandos empleados, 
no olvidemos usar el parámetro ?. 


Router>enable 
Routertshow crypto ipsec sa 


interface: FastEthernet0/1 
Crypto map tag: auda, local addr 0.0.0.0 


protected vrf: (none) 
local ident (addr/mask/prot/port): (12.0.0.0/255.0.0.0/0/0) 
remote ident (addr/mask/prot/port): (10.0.0.0/265.0.0.0/0/0) 
current_peer 11.0.0.1 port 500 


decaps: 0, fpkts decrypt: 0, fpkts verif: 
compressed: 0, f$pkts decompr: 

fpkts not compressed: 0, fpkts compr. failed: 0 

tpkts not decompressed: O, $pkts decompress failed: 0 

tsend errors 0, frecv errors 0 


local crypto endpt.: 0.0.0.0, remote crypto endpt.:11.0.0.1 
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1 
Figura 12. Modo de verificar la asociación de seguridad 
desde un router con la orden show crypto ipsec sa. 


uuu 


La libertad y la privacidad en línea se encuentran actualmente bajo amenaza. Por esta razón los gobier- 
nos y proveedores de internet quieren controlar lo que está a nuestro alcance mientras se mantiene un 
registro de todo lo que hacemos. Las VPN se convierten en una herramienta versátil y segura, la cual 
nos permitirá navegar anónimamente y sin supervisión: un método de resistencia ante los problemas por 
robo de identidad, sabotajes y prácticas ilicitas, de las cuales estamos protegidos tanto empresas como 
usuarios navegantes de la red. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


Describa el funcionamiento de una red privada virtual (VPN). 

¿Cuáles son los tipos de VPN cifrada? 

Mencione por lo menos tres protocolos de encriptación de datos. 
¿En qué consiste el sistema o modo IPSec? 

Mencione el nombre de los dos modos de operación de IPSec. 
¿Cuál es el comando utilizado para definir una autenticación definida? 
IPSec utiliza dos protocolos importantes de seguridad, ¿cuáles son? 


¿Qué es un mapa criptográfico? 


0 0 JO 9d a un 


Mencione por lo menos dos comandos para verificar la configuración VPN. 


EJERCICIOS PRÁCTICOS 


1 Consulte la siguiente página www.proxpn.com e instale la aplicación VPN. 


2 Efectúe el proceso de configuración de una VPN e imprima su resultado en 
formato TXT. 


3 Monte una topología VPN site to site sobre Packet Tracer. Documente sus 
observaciones. 


Configure un mapa criptográfico sobre la topología creada en el punto tres. 


5 Ejecute la orden show crypto map desde el OS de un router previamente 
configurado. 


, vuL 
PROFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorUVredusers.com 
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físicas 


ESOS 


En este apéndice revisaremos los conceptos relacionados con 


la, actualización y administración de una red, analizaremos 


los tipos y representación de dispositivos de red, modos de 


transmisión de datos, medios de networking, normas de 


cableado estructurado y estándares de comunicación. 
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= Conexión de 
dispositivos de red 


Con el fin de familiarizarnos con el paradigma de las redes CISCO, 
es necesario conocer la forma en la que son representados gráficamente 
cada uno de los dispositivos que conforman una red en la actualidad. 
Esto, antes de comenzar a hablar de medios de networking, normas de 
cableado y conexiones físicas. 


Repetidor Puente 
lb 10BASE-T Switch de grupo de trabajo 


¿52) 


H 


z 


[anonaoo] 
Hub 100BASET Router 

ES ES 
Hub Nube de red | 


== 


Figura 1. En este esquema se muestra una 
representación gráfica de los dispositivos de red. 


Cada uno de estos equipos tiene una figura que hace posible 
identificarlos dentro de una topología de red. Tener conocimiento sobre 
estos grafos a menudo resulta útil, sobre todo cuando existe la necesidad 
de interpretar una conexión física. Estas representaciones forman hoy 
un estándar en la grafología de redes de datos e incluso de voz. 
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Medios de transmisión 
networking 


Las redes de cómputo, a menudo, necesitan de un medio por 
donde circulen las diferentes señales portadoras de información 
(generalmente se trata de bits). Estos medios pueden ser mediante un 
cable de cobre (UTP, cable coaxial) e incluso a través del propio aire, 
en el caso de las conexiones inalñambricas. 


MEDIOS DE TRANSMISION NETWORKING 


Tecnologías 


Medios no inalámbricos o guiados Medios inalámbricos o no guiados 


usan usan 


Estándares de conexión definidos 
por el IEEE permitiendo una 
fácil conectividad 


Diferentes tipos de cables 
para realizar la conexión a la red 


ejemplos ejemplos 


Fibra Óptica 


Figura 2. Esquema de clasificación 
de los medios de transmisión networking. 
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Los medios de networking (medios físicos de transmisión) 
conforman la base de las redes informáticas en cuanto a infraestructura 
se refiere, pues son los encargados de establecer tanto la conexión 
física como la conexión lógica entre dispositivos. 


Unidireccional 
Simplex 
Bidireccional 
E. A 
Receptor Ñ Emisor 
No simultáneo 


Half duplex 
Bidireccional 
OCA SONETOS Il 
Receptor Emisor 
Full duplex 


Figura 4. En este esquema se muestran los 
modos de transmisión de datos en una red, 


Se sabe que a través de los medios de networking es posible el flujo 
de diversos tipos de tráfico, de datos, video e incluso de la propia 
voz. En el presente tema del apéndice, abordaremos las categorías, 

las características y el ambiente de aplicación de 
dichos medios. No olvidemos que actualmente el 


EL CABLE DE rendimiento de esa red se encuentra en función 
COBRE ES EL MÁS del medio de networking utilizado. 

Debemos saber que desde los inicios de las 
EMPLEADO PARA redes, el cable de cobre ha sido el más empleado 
LAS REDES DE para la puesta en marcha de las conocidas 
, redes de área local (LAN). Actualmente existen 
AREA LOCAL diversos tipos de cables de cobre disponibles en 


el mercado. Estos conductores, a menudo, son 
capaces de transportar información utilizando 
corriente eléctrica, por lo que se recomienda tener conocimientos 


previos de electrónica antes de comenzar a instalar una red. 
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Los medios de transmisión utilizados en 
las redes poseen distintas especificaciones y LOS MEDIOS DE 
características técnicas, las cuales a menudo se TRANSMISIÓN 
encuentran impresas sobre su empaque comercial 
o en su defecto en la datasheet (hoja de datos) POSEEN DISTINTAS 
localizada en la página web del fabricante. En ESPECIFICACIONES Y 
otras ocasiones, podemos encontrar cables que A 
incluyen un conjunto de inscripciones impresas CARACTERÍSTICAS 
sobre su cubierta externa. 

Estas especificaciones generalmente suelen ser: y y 
velocidad de transmisión, distancia de tendido recomendada, categoría 
y modo de transmisión. En cuanto a este último punto, podemos 
mencionar tres modos de transmisión de datos estándar: simplex, half 
duplex y full duplex. La diferencia entre ellos se centra básicamente en 
la dirección en la que fluye el tráfico de datos. 


El estándar ethernet 


Cuando hablamos sobre redes, seguramente viene a nuestra mente 
un término muy conocido por muchos: ethernet, el cual consiste 
en un estándar de redes de área local, cuyo nombre proviene del 
concepto físico: ether. Este estándar a menudo emplea el método 
CSMA/CD (Acceso múltiple por detección de portadora con detector de 
colisiones), el cual se encarga de mejorar notoriamente el rendimiento 
de dicha conectividad. Ethernet define no solo las características de 
los medios de transmisión que deben utilizarse para establecer una 
conexión de red, sino también todo lo relativo a los niveles físicos de 
dicha conectividad, además de brindar los formatos necesarios para las 
tramas de datos de cada nivel del Modelo OSI. 


6 CABLEADO ESTRUCTURADO 


Actualmente se desarrollan soluciones de cableado punta a punta totalmente blindada; por mencionar 
un ejemplo, el famoso TERA de Siemon, el cual excede las especificaciones de la IOS/1EC Cat7A. Se 
trata del sistema de cableado de par trenzado de cobre de alto desempeño (superior a 10 Gbps), con 
un ancho de banda de 1.2 GHz. 
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Computadoras Rack 


Figura 5. El estándar ethernet es 
originalmente muy popular entre las redes LAN, 


El desarrollo de esta tecnología ha tenido un fuerte apoyo de algunas 
compañías como: Digital, Intel y Xerox, siendo actualmente el método 
más popular empleado en el mundo para establecer conexiones de 


"444 


O NUEVO EN DISPOSITIVOS CISCO 


La empresa CISCO sigue creciendo, y desde luego que no termina de sorprendernos. Algunas novedades 
en dispositivos son las series 1900, 2900 y 3800. Para la serie 2900 tenemos: el modelo 2901, 
2911, 2951 y para 3800, especificamente el equipo 3825. Entre muchas características, incorporan 
mayor seguridad, cifrado VPN e integración POE. 
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redes locales. Los routers y switches CISCO 
incorporan a menudo este estándar en sus LOS PRIMEROS 


puertos, llamados puertos ethernet, los MEDIOS USADOS POR 
cuales son, por lo general, configurados. Estos 


se encuentran asociados a una interfaz mejor ETHERNET 

conocida como: interfaz ethernet. SE ORIGINARON 
Las especificaciones de IEEE 802.3 dieron 

origen a los primeros medios utilizados EN IEEE 802.3 


por ethernet. Estas normas determinan las 
características que tienen que ver con el alcance 
de la señal y la capacidad de transmisión. Veamos cuáles son: 


+ 1OBASEZ2: se refiere a la velocidad de transmisión a 10 Mbps. Su tipo 
de transmisión es de banda base. El 2 determina la longitud máxima 
aproximada del segmento que es de 200 metros. La longitud máxima 
del segmento es de 185 metros. Se aplica sobre cable coaxial. 

+ 1OBASES5: se refiere a la velocidad de transmisión a 10 Mbps. El 
tipo de transmisión es de banda base. El 5 representa la capacidad 
que tiene el cable para que la señal recorra 500 metros antes de que 
la atenuación interfiera. Se aplica sobre cable coaxial. 

+ 1OBASET: se define como velocidad de transmisión a 10 Mbps. El 
tipo de transmisión es de banda base. La T en dicha nomenclatura 
significa twisted (par trenzado). 


TABLA 1: ESPECIFICACIONES ETHERNET IEEE 802.3 ES 


y VELOCIDADDE y TIPO y DISTANCIA y MODODE 


y TECNOLOGÍA A ; A 
TRANSMISIÓN DE CABLE MÁXIMA TRANSMISIÓN 


1000BaseT 1000 Mbps Par trenzado (Cat5e UTP)  100m Full duplex 
10000BaseT 10000 Mbps Par trenzado (Cat6a UTP) 50m Full duplex 


Tabla 1. Especificaciones técnicas de ethernet. 
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Como podemos apreciar, de estas especificaciones se derivan 
algunos términos que se definen a continuación: 


+ Velocidad de transmisión: es un valor en el cual se puede 
distinguir la capacidad máxima de la tecnología respectiva a 
la transmisión de datos. Esta puede definirse de 10 a 10.000 Mbps 
(Mega bits por segundo), según la tecnología empleada. 

+ Tipo de cable: es el tipo del medio de transmisión de datos (el tipo 
de cable se define de acuerdo con las especificaciones técnicas y con 
el material empleado para su diseño). 

+ Categoría del cable: de acuerdo con ciertas normas es que se 
establece la categoría de un cable. El aumento de la categoría se 
encuentra en función de algunas características como la frecuencia 
y capacidad. Podemos encontrar algunos medios que manejan las 
siguientes categorías: Cat5, Cat5e, Cat6, Cat6a, Cat7 y Cat7a. 

+ Distancia máxima (longitud): es el máximo de distancia que puede 
haber entre dos nodos, descartándose la medición de dispositivos 
de repetición de señales. 


Figura 6. El cable UTP Cat6a es un medio 
de transmisión moderno en el sector telecomunicaciones, 


Actualmente, la manera más práctica de poder apreciar esta 
tecnología es, sin duda, en los medios de networking y los 
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dispositivos de red, pues es evidente que 

todos estos equipos por lo regular incorporan 
interfaces de tipo ethernet, solo que en diferentes 
capacidades (ancho de banda). En el Capítulo 2 
de este libro, se han señalado estas capacidades, 
sin embargo, si en algún momento deseamos 
obtener mayor información sobre el tema, 
podemos recurrir a la explicación preparada para 
cada equipo de red desde la interfaz gráfica de 
Packet Tracer. Desde aquí podemos consultar 
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PACKET TRACER 
NOS BRINDA 
INFORMACIÓN 
RELEVANTE SOBRE 
CADA EQUIPO 


incluso una descripción breve de cada interfaz, los modelos y las series ; y 


del dispositivo que las incorpora. 


Figura 7. EnPacket Tracer se describen 
algunas características de las interfaces ethernet. 


Cable coaxial 


El cable coaxial está conformado por un conductor de cobre 
rodeado de una capa de plástico aislante y flexible. Sobre este material 
aislante se ubica una malla de cobre tejida, la cual actúa como el 
segundo blindaje para el conductor interno. Esta capa se encarga de 
reducir aún más la cantidad de interferencia electromagnética externa. 
Por encima de estas, tiene un revestimiento exterior para definir la 
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estática del cable (generalmente de color negro). La aplicación de este 
tipo de medio nos permite realizar tendidos a mayores distancias que 
con el cable de par trenzado (100 metros). El cable coaxial trabaja con 
50 Ohms y actualmente es utilizado por las empresas que ofrecen el 
servicio de televisión por cable, trabajando a 75 Ohms. 


Revestimiento 
exterior 


Malla 
de cobre 


Capa de plástico 
aislante (dieléctrico) 


Conductor 
de cobre 


Figura 8. En este esquema se ilustran los componentes de un cable coaxial. 


En la actualidad, el uso del coaxial se aplica por lo general en el 
ramo industrial de la televisión por cable (CATV). Actualmente, en las 
redes híbridas y HFC (Hybrid fibre coaxial), ha alcanzado incluso 
un grado de madurez que se traduce en la integración de servicios 
más allá de la televisión, en particular, la tríada formada por teléfono, 
televisión e Internet de banda ancha. 


Ad CLASIFICACIÓN DE LA FIBRA ÓPTICA 


La fibra óptica utilizada actualmente en el área de telecomunicaciones suele clasificarse fundamentalmen- 
te en dos grupos según el modo de propagación: fibra monomodo y fibra multimodo. La primera es 
aquella capaz de guiar y transmitir un solo rayo de luz (un modo de propagación), mientras que la fibra 
multimodo puede emitir N rayos de luz. 


>»  www.redusers.com 


ROUTERS Y SWITCHES CISCO 3323 285 


Cable de par trenzado 
sin blindar (UTP) 


Del término en inglés Unshielded Twisted Pair (UTP). El cable de par 
trenzado sin blindaje consiste en un medio de cuatro pares de hilos 
trenzados. Cada hilo de cobre de dicho cable se encuentra revestido 
por un material aislante de colores. Este tipo de medio posee el efecto 
por cancelación, el cual entra en acción ante posibles interferencias. 

El cable UTP es el medio de networking más utilizado en la actualidad. 
Este tipo de medio de transmisión a menudo se puede adquirir por 
bobinas (rollos), las cuales contienen alrededor de 305 metros de cable 
con un grosor entre 0.40 y 0.50 mm. Algunas marcas comerciales de 
cable de par trenzado son: Xcase, Panduit, Furukawa, Nexxt, Belden. 
Actualmente contamos con cable UTP Cat 6a (categoría 6 aumentada). 


Figura 9. Actualmente es muy común conseguir bobinas de 
cable de par trenzado en el mercado de las telecomunicaciones. 


Cable de par trenzado blindado (STP) 


Del término en inglés Shielded Twisted Pair (STP). El cable de par 
trenzado blindado combina las técnicas de blindaje y trenzado de 
cables. Este medio de transmisión reduce el ruido electrónico desde el 
exterior del cable, como por ejemplo, la interferencia electromagnética 
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(RFD. La diferencia de un UTP y STP se encuentra en el modo de 
protección ante las posibles interferencias en el medio. Este cable 

es generalmente utilizado en ambientes donde residen interferencias 
tanto electromagnéticas como de radiofrecuencia. 


Figura 10. El cable STP es utilizado 
en ambientes sujetos a interferencias y ruido. 


Cable de par trenzado 
apantallado (ScTP) 


Del inglés Screened Twisted Pair (ScTP), consiste en una combinación 


PRESENTA 


COMO UNA 
COMBINACIÓN 
ENTRE EL CABLE UTP 
Y STP TRADICIONAL 


e 
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entre el cable UTP y el STP tradicional. Este cable 
también es conocido como par trenzado de papel 
metálico. Como su nombre lo indica, este medio 
consiste en un cable UTP envuelto en un blindaje 
de papel metálico de 100 Ohms. 

Las cubiertas metálicas de un cable STP y 
ScTP, por lo general, se mantienen conectadas a 
tierra en ambos extremos, esto con la finalidad 
de evitar ruido en el medio. Consideremos que 
este cable por lo regular es utilizado en ambientes 
susceptibles a interferencias. 
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Figura 11. Los medios ScTP deben conectarse 
a tierra en ambos extremos para evitar ruido en el medio. 


Cable de fibra óptica 

El cable de fibra óptica es el medio utilizado para los enlaces de 
backbone (cableado vertical en un edificio o entre edificios). Soporta 
mayores distancias e importantes capacidades de tráfico. Este tipo de 
medios de networking, a menudo, utiliza la luz para transmitir datos. 
Esto es posible gracias a una delgada fibra de vidrio o materiales 
plásticos. Los pulsos eléctricos hacen posible que el transmisor de 
fibra óptica genere señales luminosas que son enviados finalmente 
por el núcleo de la fibra. El receptor capta las señales luminosas y las 
convierte en señales eléctricas en el extremo opuesto de la fibra óptica. 
Sin embargo no hay electricidad en el cable de fibra óptica. 


6 VIDA ÚTIL DEL CABLEADO 


Es importante tener en cuenta que, a fin de evitar problemas de raíz en redes de telecomunicaciones, 
resulta una buena opción considerar la contratación de un servicio de cableado cuyo ciclo de vida sea 
superior a los diez años. De esta manera, contaremos con un soporte de dos a tres generaciones 


de equipo activo. 
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E 
9 gg eran remeros $ 


Figura 12. El cable de fibra óptica es a menudo 
utilizado en redes para llevar a cabo enlaces backbone. 


Es importante considerar que algunos dispositivos de red actuales 
ofrecen ranuras o puertos denominados SFP (Small Form Factor) los 
cuales se encuentran etiquetados como Mini-GBIC ports, estos se 
encargan de ofrecer soporte para fibra óptica. 


Figura 13. Algunas series de dispositivos CISCO 
incorporan ranuras SFP para la inserción de módulos GBIC. 
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Estos permiten la inserción de elementos 
conocidos como módulos de conexión SFP + 
OPTIC, los cuales integran la tecnología de 
sustitución en caliente (hot swap), lo que 
significa que pueden ser instalados sin opción a 
interrumpir el tráfico de la red y sin necesidad 
de reiniciar el equipo. Un ejemplo de ello son los 
switches Catalyst 3550 series. Otras gamas de 
switches, por citar como ejemplo los de la serie 
1900, generalmente incluyen sus conectores 
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LOS MÓDULOS SFP 
+ OPTIC INTEGRAN 
LA TECNOLOGÍA DE 
SUSTITUCIÓN 
EN CALIENTE 


para fibra óptica en la parte frontal del equipo. Por otro lado, existen 


tarjetas especiales para routers (de las cuales vamos a hablar más 
adelante en el tema: Tarjetas de interfaz CISCO) que nos permiten 


interactuar con cable de fibra óptica, por ejemplo. 


Figura 14. Las tarjetas 10GbE permiten 
la integración de periféricos a la PC, al igual que los módulos GBIC. 


En el ámbito de las redes computacionales, muchos dispositivos 
finales modernos incluyen en forma predeterminada puertos 


que entregan soporte para fibra óptica. En caso de no contar con 
computadoras con este tipo de interfaces de conexión, podemos 
recurrir a la adquisición de una de ellas. A menudo pueden solicitarse 


como adaptadores ethernet 10GbE. 
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Cable de consola 


Recordemos que algunos dispositivos como el switch, los access 
point (AP), los firewall y los routers, a menudo, son configurados 
mediante un puerto físico conocido como puerto de consola. Estos 
dispositivos generalmente incorporan un cable para su configuración 
inicial o administración, a través de este puerto, pudiendo ser del 
propietario en algunas ocasiones, Consideremos que el cable de 
consola posee un plug RJ-45 en uno de sus extremos y en el otro 
presentan un conector COM (serial - DB9). 

El cable de consola tradicional generalmente es plano e incluye 8 
hilos al igual que el cable de par trenzado, Su configuración es muy 
simple y es conocido como cable rollover. En el tema: Normas de 
cableado conoceremos la forma de configurarlo. 


Figura 15. Cable de consola tradicional. Incluye un conector 
DB9 en un extremo y un plug RJ-45 en el extremo opuesto. 


Antes de comenzar a configurar algún dispositivo por puerto de 
consola, debemos prever que nuestra PC posea cuando menos un 
puerto COM, pues las computadoras actuales (en la mayoría de los 
casos: notebooks) no cuentan con un puerto de este tipo, por lo que 
será necesario utilizar un convertidor de COM a USB. 

Para poder ejecutar de manera correcta la hyperterminal utilizando 
un convertidor COM a USB, debemos instalar su respectivo driver 
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y posteriormente elegir la opción COM [número de puerto]. Este proceso 
es prácticamente el mismo que empleamos para efectuar una conexión 
directa con el cable de consola a la interfaz RJ-45. Los convertidores, a 
menudo, los podemos conseguir en cualquier tienda de electrónica. 


StarTech.com 
pa 


pa 


instruction Manual 


Figura 16. Convertidor DB9 a USB que se 
utiliza para la configuración de dispositivos por consola. 


Actualmente, muchos dispositivos de networking integran una 
interfaz USB (hembra USB 5-pin tipo B) para ser configurados, tal es 
el caso de dispositivos de la serie 1900 (1921 o 1941), 3900 series 
y switches Catalyst 2960-S series POE+. La consola USB soporta 
la operación a máxima velocidad (12 Mb/s), cuyo puerto no admite 
el control de flujo por hardware. Se trata de una alternativa para la 
configuración de dispositivos de red como el switch o el router. 


O ESTÁNDAR RS-232 


El estándar RS-232 nace hace más de cuarenta años y fue originalmente desarrollado para regir las 


comunicaciones entre computadoras y equipos de módem de la época. Este estándar ha sido muy em- 
pleado en cables para la conexión remota entre routers. Algunas arquitecturas físicas para estos cables 
son: ElA/TIA-232, ElA/TIA-449, V.35, X.21 y ElA-530. 
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Figura 17. Ejemplo de dispositivos que incorporan 
puertos USB 5-pin tipo B para configuración. 


La aplicación de los conectores USB 5-pin tipo B en dispositivos de red 
implica tener que utilizar un cable mucho más delgado que el tradicional 
cable de consola, actualmente descrito como cable USB 4-pin tipo -A / 
USB 5-pin tipo B. En caso de no contar con este medio de transmisión, 
puede conseguirse en tiendas de electrónica convencional. 


cd 


Figura 18. Los cables USB y Mini-USB son 
empleados para configurar dispositivos de red modernos. 
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Para ilustrar el proceso de conexión entre un dispositivo de red y un 
dispositivo final mediante un cable de consola (ya sea vía RJ-45 o por 
medio de un cable USB), proponemos montar una topología de red punto 
a punto desde Packet Tracer. Para esto es necesario arrastrar tanto un 
router como una PC al área de trabajo y tratar de efectuar una conexión 
física con la ayuda de un cable de consola. Posteriormente vamos a 
dar clic sobre la PC en la opción Terminal. Aceptamos la configuración 
establecida y desde ese momento se accede al 1OS del dispositivo. 


Figura 19. Figura montada en Packet Tracer 
que ilustra la conexión física de una PC a un router CISCO. 


Cable de conexión serial 


Toda conexión física serial cuenta con un dispositivo etiquetado 
como equipo terminal de datos (DTE - Data terminal equipment), en un 
extremo, y un dispositivo de equipo de comunicación de datos (DCE - 
Data communication equipment), en el otro. Esta conexión física entre 
dispositivos es posible gracias a un juego de dos cables de transmisión 
de datos, denominados cables de conexión serial. Cada medio se 
encuentra generalmente constituido por un conector especial en cada 
extremo: un conector Smart Serial (V.35) por un lado, el cual se encarga 
de conectar al dispositivo DTE, mientras que del lado opuesto, el 
conector Winchester actúa como el medio para conectar un dispositivo 
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DCE (como el caso de módems o CSU/DSU) o, en su defecto, establecer 
la red de transmisión del proveedor del servicio WAN. 

Cuando nos veamos en la necesidad de establecer una conexión de 
red punto a punto entre routers, por ejemplo, deben empalmarse los 
extremos Winchester del juego de cables de conexión serial (notemos que 
uno es macho y otro es hembra) para la configuración de interfaces. 


Figura 20. Una conexión punto a punto entre routers 
se realiza con la ayuda de un juego de cables de conexión serial. 


Algunos ejemplos de equipos de terminal de 


UNA INTERFAZ QUE datos en las redes pueden ser: un router, una 
TRABAJA EN MODO computadora personal, una impresora e incluso 
una copiadora (multifuncional). Aunque para 
SERIAL PUEDE establecer una conexión entre dispositivos es 
TENER DIFERENTES indispensable la presencia de interfaces de 
conexión, como el caso de las interfaces seriales 
ARQUITECTURAS en un router, por ejemplo. Recordemos que una 


interfaz que trabaja en modo serial, por lo general, 

Y Q puede tener diferentes arquitecturas físicas. 
Aunque actualmente cualquier dispositivo de red posee la capacidad de 
soportar prácticamente cualquier tipo de interfaces de conexión, gracias 


a su capacidad de expansión (haciendo uso de tarjetas adaptadoras, las 
cuales describiremos en el siguiente tema del presente apéndice). 
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Terminal 
macho 


Figura 21. Esquema que muestra la forma en que deben conectarse 
dos routers físicamente mediante un juego de cables de conexión serial. 


Funcionamiento 
de las conexiones seriales 


El funcionamiento de las conexiones seriales es muy simple, pues 
por lo regular las señales emitidas las recibe el DCE remoto, el 
cual decodifica la señal nuevamente en una secuencia de bits. Esta 
secuencia es enviada posteriormente al DTE remoto. 

El DCE puede comprender convertidores de señales, generadores de 
temporización, regeneradores de impulsos y dispositivos de control, 
así como otras funciones tales como la protección contra errores o 
llamada y respuesta automáticas. 

En una topología de red CISCO, en la que se empleen enlaces 
seriales, tenemos la opción de configurar una velocidad de reloj (clock 
rate), con el único fin de lograr la sincronización de dichos equipos. 
Pero en este punto debemos tomar en consideración que por cada par 


¡N LA TECNOLOGÍA POE EN LOS SWITCHES 


POE es un estándar que emite 48 volts como máximo para alimentar los dispositivos conectados a cada 
puerto del switch. Los equipos soportados, a menudo, pueden ser teléfonos IP, cámaras de seguridad 


(Video vigilancia), access point, etcétera. El switch 2960-S series es un ejemplo de esta integración. 
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de dispositivos conectados entre sí, con que uno 


LAS INTERFACES DE solo tenga la configuración clock rate es más 


TIPO SERIAL ESTÁN que suficiente. En este sentido es importante 
que recordemos que es habitual que el DCE lleve 

ASOCIADAS AL siempre esta sincronización. 

PARÁMETRO Recordemos que durante el desarrollo de los 


diferentes capítulos del libro, hemos mencionado 


CLOCK RATE que las interfaces de tipo serial están asociadas al 


er 


parámetro clock rate, el cual debe configurarse 

desde el dispositivo de red. Siempre que uno 
de los cables del juego tiene en un extremo un conector Winchester 
macho, mientras que el otro cable posee un conector hembra. Del 
extremo en el que ha de conectarse un dispositivo DCE, deberá 
predominar el conector hembra, mientras que del lado en el que está 
el dispositivo DTE, debe estar presente el conector Winchester macho. 
Por tanto, el equipo conectado en el extremo hembra debe llevar la 
sincronización (clock rate). 


Figura 22. Representación de la comunicación 
entre dispositivos por medio de interfaces seriales. 


A modo de conclusión sobre el presente tema, podemos decir que 
tanto DTE como DCE consisten en un enlace punto a punto, lo que 
hace posible una conexión remota entre dispositivos. 
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Figura 23. Para conectar un cable smart 
serial necesitamos de una interfaz física por dispositivo. 


Tarjetas de interfaz CISCO 


Las tarjetas de interfaz de CISCO, aunque no están clasificadas como 
medios de transferencia de datos, puesto que se trata de dispositivos 
periféricos que auxilian a la comunicación, merecen ser descritas en 
este apéndice. Estas tarjetas por lo general se clasifican de acuerdo 
con las tecnologías de red existentes y con las 
aplicaciones que soporta. Por ejemplo, tarjetas 


de interfaz WAN (WIC) apoyan las tecnologías LAS TARJETAS DE 
WAN, tales como gigabit ethernet y tarjetas de INTERFAZ WAN 
interfaz de voz (VIC), tecnologías de voz de 

soporte. Las tarjetas de interfaz de voz / WAN PUEDEN SOPORTAR 
(VWIC) pueden soportar tanto servicios como SERVICIOS Y 


aplicaciones de voz, datos, dependiendo de las 
capacidades del router en el que está instalado el APLICACIONES DE VOZ 
módulo VWIC. Las tarjetas de interfaz WAN de 
alta velocidad mejorada (EHWIC) proporcionan y y 
la posibilidad de ampliar las capacidades LAN y WAN, respectivamente, 
tales como gigabit ethernet y ethernet de conmutación. 
Los módulos EHWIC son compatibles actualmente con las series 
1861-E, la serie 1900, 2900 y 3900. 
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Figura 24. Las series 1900, 2900 y 3900 
de routers CISCO integran los modernos módulos EHWIC. 


Las tarjetas de interfaz de CISCO actualmente están disponibles 
en dos factores de forma que permiten proporcionar una mayor 
modularidad y funcionalidad para los usuarios: 


+ Tarjetas de interfaz de un solo ancho. 
+ Tarjetas de interfaz de doble ancho. 


Debemos saber que el número de ranuras en 


EL MODELO nuestros equipos va a depender básicamente 
2951 INCLUYE del modelo o serie del dispositivo; por ejemplo, 
algunos modelos, como el 2951 series, incluyen 
COMPATIBILIDAD un divisor de ranura para tarjetas de interfaz de 
PARA TARJETAS DE doble ancho, ante esta situación se recomienda 
retirar este divisor. Otro ejemplo que podemos 
DOBLE ANCHO emncionar en este momento es el siguiente: para 


instalar tarjetas de interfaz de doble ancho en 
E E routers CISCO de la serie 3800, es necesario 
retirar un separador que viene incluido por cada ranura. Las ranuras 
residentes en los dispositivos de red, por lo regular, son identificadas 


como Slot0, Slot1, hasta N, por lo que para insertar alguna tarjeta 
adaptadora debe tenerse en cuenta el número de ranura. 
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Figura 25. En la imagen se ilustra el ejemplo 
de ranura doble y simple, presente en dispositivos de red. 


Normas de cableado 


Como sabemos hasta ahora, el medio de networking más usado y 
popular en las redes actuales es el par trenzado. Por ello mismo, vamos 
a describir algunos parámetros de suma relevancia sobre estos medios. 

Como se ha dicho, están constituidos por 8 hilos cuyo orden no 
es aleatorio, sino que está definido por diversas 
normativas elaboradas por la ElA (Asociación de 


Industrias Electrónicas) y la TIA (Asociación de EL MEDIO DE 

Industrias de Telecomunicaciones). NETWORKING MÁS 
Las normativas establecidas para el diseño 

y la certificación de una conexión física es algo UTILIZADO EN LA 

que todos los administradores de redes debemos ACTUALIDAD ES EL 

conocer. Las normas más conocidas en el ámbito 

de las redes son sin duda dos: la norma T568-A y PAR TRENZADO 


la norma T568-B (mejor conocidas como normas A 

y B, respectivamente). Aunque no son las únicas. 5 
Estas normas avalan la forma en la que debe ser configurado o creado 

un cable de red de par trenzado especificamente. Hasta el momento 
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sabemos que existen diversas formas en las que se presenta el cable 
de par trenzado: UTP, STP, ScTP; por lo general, estos cables son 
distinguidos a razón del material físico de protección que los constituye. 


T568A T568B 


Figura 26. Sobre la base de este 
esquema podemos configurar una red estándar. 


Las normas A y B son utilizadas para configurar de igual modo 
rosetas murales (RJ-45), jacks modulares y paneles de parcheo (patch 
panel). Cada norma será utilizada según lo requiera la red. 

Actualmente tenemos dos opciones básicas para la configuración de un 
cable ethernet de par trenzado utilizando las normas antes mencionadas: 


+ Configuración directa (straight-throug). 
+ Configuración cruzada (cross-over). 


ESTABILIZACIÓN A 10 GBPS 


Actualmente el mercado informático se encuentra plagado de abundantes soluciones para las redes. 
Podemos incluso encontrarnos con convertidores de interfaz para routers o switches o cables para esta- 
bilizar la conexión de 10 Gbps entre host, servidores de seguridad y NAS (como el caso del cable Cisco 
SFP-H10GB-CU3M 10GBASE-CU SFP+ 3m Twinax) o SFP + OPTIC (fibra óptica). 
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Configuración directa 


Configuración cruzada 


Jefa] mu Ame 
2 am 

a AS 30% 
- A 


Figura 27. Esquema que ilustra la configuración 
directa y cruzada de un cable UTP. 


(1) DESCARGA A TIERRA 


Como sabemos, muchas instalaciones de red incluyen un soporte eléctrico, el cual necesariamente debe 
incluir una descarga a tierra. En este sentido debemos tener en cuenta que si la instalación no se 
encuentra en óptimas condiciones y respetando los estándares definidos, corremos riesgos de que se 


produzcan cortocircuitos, incendios y, por lo tanto, deterioro en la infraestructura de nuestras redes de 


datos, de voz o también eléctricas. 
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TABLA 2: CONEXIÓN ENTRE DISPOSITIVOS CON BASE EN NORMAS A Y B ES 


y DISPOSITIVO 1 MIEL y CONFIGURACIÓN DE CABLE 


Tabla 2. Configuración de los cables UTP. 


o La configuración directa consiste en 

LA CONFIGURACIÓN colocar en ambos extremos de un cable el 

DIRECTA SE REALIZA mismo tipo de norma, ya sea A o B. Por lo 
regular es utilizado para conectar dispositivos 

USANDO LA MISMA de distinta arquitectura entre sí. En tanto 

NORMA EN AMBOS que en la configuración cruzada, ambos 
extremos tienen que ser configurados de manera 

EXTREMOS distinta. Por un lado, tenemos una norma A 

y del lado opuesto, un plug con la norma B. 

Estos medios a menudo son utilizados para 

conectar dispositivos del mismo tipo entre sí. La Tabla 2 nos ofrece 


vuvy 


¡CUIDADO CON LOS MEDIOS DE NETWORKING! 


Tengamos en cuenta que antes de intentar cortar, pelar o empalmar cualquier cable fibra óptica, 
debemos contar con las precauciones de seguridad y los conocimientos necesarios. Un técnico experi- 
mentado debe supervisar dicha tarea hasta garantizar que se han adquirido las habilidades necesarias. 
Pues de no ser así, pudiéramos sufrir alguna lesión. 
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información relevante que nos servirá como guía para conocer el tipo 
de configuración empleada al momento de efectuar la conexión física 
de los dispositivos que componen nuestra red. 


«—_— 
Configuración directa Configuración cruzada 


Switoh Router ¿Men SIN 
Switch Hub 
Switch 


Figura 28. Esquema que muestra el ejercicio 
de las conexiones punto a punto en Packet Tracer. 
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Para poner en práctica estas configuraciones, 
PODEMOS PONER recomendamos crear un ejercicio simple sobre 
EN PRÁCTICA LAS Packet Tracer, el cual consiste en ir arrastrando 
elementos como: routers, switches, hubs, PC y 
CONFIGURACIONES servidores al área de trabajo, esto con el fin de 
GRACIAS A interconectarlos entre sí. Para esta última tarea 
vamos a utilizar el cable de conexión automática 
PACKET TRACER ubicado en la sección de dispositivos de Packet 
Tracer. Una vez hecho esto, lo colocamos de 
La E dispositivo a dispositivo (punto a punto) hasta 
lograr la conexión. Notaremos que los nodos originalmente iluminados 
de color rojo pasan a color verde. Pero si en algún momento 
colocamos un cable distinto al adecuado, los nodos no cambian de 
color, por tanto la conexión no es exitosa. 


Configuración rollover 


Figura 29. Esquema de configuración rollover sobre un patch cord. 


1144 


A) CANALETAS DE PISO 


Las canaletas de piso o los canales en forma de media luna son muy comerciales y generalmente 
empleados por los técnicos en redes para el tendido del cable ethernet sobre superficies. Suelen ser de 
aluminio o plástico rígido. La estructura de este medio depende de las exigencias de la compañía. 
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Como podemos observar, cuando se conecta ya 
sea un router o switch administrable a una PC, 
se utiliza un cable con configuración cruzada, 
esto con el único fin de conseguir la comunicación, 
pero cuando desea configurarse o administrarse, 
se utiliza un cable de consola (rollover). Este cable 
plano tiene su propia configuración. 


a RESUMEN 


REA 305 


USAMOS UN CABLE 
CRUZADO PARA 
CONECTAR UN 
ROUTER O 

SWITCH A LA PC 


7) 
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La finalidad de este apéndice es explicar de manera breve algunos principios básicos sobre conexiones 


físicas en una red, para complementar lo aprendido a lo largo de los capítulos del presente libro. 


A menudo resulta conveniente tener a mano una guía que abarque simbología empleada en las redes, 


tipos de cable, sus características y modos de configuración, normas, entre otros aspectos, que nos 


pueden ser de utilidad a la hora de poner manos a la obra. 
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Actividades 


TEST DE AUTOEVALUACIÓN 


¿A qué nos referimos con un medio de networking? 

¿Cuáles son los medios de transmisión existentes en el ámbito de las redes? 
Describa brevemente en qué consiste el estándar ethernet. 

¿Cuáles son las categorías de cable ethernet más empleadas en la actualidad? 
¿Cuál es el medio de networking usado para configurar de un dispositivo de red? 
¿Cuál es el nombre de los conectores de un juego de cables de conexión serial? 
¿Cuáles son las funciones asociadas a las tarjetas de interfaz VWIC de CISCO? 


¿Cuáles son los tipos de factor de forma de una tarjeta de interfaz CISCO? 


0 0 JO 90M a Un 


¿Qué normas de cableado estructurado se emplean para par trenzado? 


. 
o 


¿Qué tipo de configuración debe usarse para conectar switches punto a punto? 


EJERCICIOS PRÁCTICOS 


1  Investigue las características técnicas de los routers 1900 series. 


2 Consiga un cable UTP y trate de seguir una configuración cross-over. 


3 Monte una topología de red sobre Packet Tracer en la que ilustre la conexión 
serial de tres routers. Identifique cuál está configurado como DCE y DTE. 


4 Abra Packet Tracer e identifique los módulos de interfaz de conexión física de un 
router de la serie 2800. 


' vuL 
OFESOR EN LÍNEA 


Si tiene alguna consulta técnica relacionada con el contenido, puede contactarse 
con nuestros expertos: profesorUVredusers.com 
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En esta sección presentamos un completo índice temático para 
encontrar, de manera sencilla, los conceptos fundamentales de 
la obra y, además, una selección de interesantes sitios web con 
información, novedades y recursos relacionados con los temas 


que desarrollamos en este libro. 


v Índice temático..... 


v Sitios web relacionadoS.......... 31 


AAA 


308 (EZ 


Índice temático 


ACL... 
ACL estándar... 
ACL extendida. 
Administrables. 
Algoritmo selectivo 
Asignación de direcciones 
Asignación de puertos .. 
Asignación de voz..... 
Autenticación 

Auxiliar 


Belkin... 
Broadcast 
Buffer... 


C Cable de consol: 


Cableados ..... 
Canaletas de piso...... 
Capa de plástico. 
Categoría de cabl 
CCNA ... 
Certificación 


Clase C. 
Clase de interfaz 
Clase E..... 
Claves de acceso 
CLI.... 

Cliente - servidor ..... 
Clientes DHCP. 
Clock set... 
Colisiones .... 
Componentes externos .... 
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Conector de voltaje 
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Conexión segura... 0 2 
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Configuración de ACL. 178 
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Configurar terminal... 
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Contraseñas CISCO 
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DHCP 
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Dirección IP 
Dirección IPv4 
Direcciones privadas 
Direcciones registradas ... 


Dispositivos de networking . 
Dispositivos de red ... 


Emulador gráfico ..... 
Encapsular 
Encriptación 
End devices 
Enrutamiento... 
Enrutamiento dinámico 
Enrutamiento estático.. 
Estado del enlace..... 
Estándar 802.110 .... 


Fibra monomodo 
Fibra multimodo .. 
Fibra óptica .. 
Firewalls... 


Gateway ... 
GBIC port: 
GRE .... 


Hembra USB 5... 
HFC... 
Historial 
Hostname 
Hyperterminal ..... 


Implementación VLAN... 
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Inside global .. 
Inside local 


Interfaces administrativas 
Interfaces CISCO. 
Interfaces de conexión .. 


Interfaces ethernet ... 


Interfaces seriales..... 


Interruptor de poder 
TOS... 
IPSec ..... 


LAN virtuales 
Línea AUX 

Línea CTY ..... 
Línea VTY .... 
Líneas de comando 


Líneas del dispositivo .... 


Memoria RAM.. 
Memoria ROM... 


Modalidad multiservicio 
Modelos... 
Modo EXEC usuario.. 
Modo global de configuración 
Modo no privilegiado..... 
Modo privilegiado .. 
Modos de transmisión. 
Modos EXEC ..... 
Módulo de ayuda.... 


NAT... 
No administrables . 
NVRAM.. 


Octetos ... 
Operaciones 10OS ... 
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Orientación geográfica 
Origen de CISC! 
OSPF.... 
Outside ..... 
Outside global 
Outside local 


Packer Trace: 
Palabras claves 


Permit.... 
Procesos dinámicos.. 
Productos CISCO 
Programas de entrenamiento... 
Protocolo. 
Protocolo de túnel 


ProXY..... 
Puerto Aux ... 
Puerto USB 
Puertos TCP y UDP 
Punto de acceso inalámbrico ... 


Redes virtuales 
Red interna privada 
Replicación VTP .. 
RIP... 
Routers. 


Routers adyacentes 
Routers multifunción 
Rutas estáticas..... 


Scope .... 
Seguridad básic: 
Serie 100 ..... 
Series... 
Series de router CISCO 
Servidor DHCP .... 
Servidor Proxy. 


Sesión de autenticación... 
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Sitios web relacionados 


SITIO OFICIAL DE CISCO % www.cisco.com 

Es el sitio oficial del fabricante CISCO Systems Inc. Desde aquí se pueden 
descargar recursos como Packet Tracer, currículas actualizadas y gran variedad 
de material didáctico publicado por la compañía. 


The Internet of Everything 
2vents that kee] 


ning back for more 


a 2 a o DE ram 


REDES CISCO % www.redescisco.net 

Interesante página de internet en la que se pueden encontrar diversos recursos 
en cuanto a redes CISCO se refiere, tales como clases online, hojas técnicas, 
videos, manuales, guías y materiales de estudio. 


Redes Cisco.NET 


CCNA, CCNP, Wreless, y networking en general 


RE 


múltiples productos Cisco corriendo OSPF 


O Vulnerabilidad de manipulación de LSAs encontrada en 
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BLOG CISCO % www.planetacisco.blogspot.com 

Consiste en un blog que, entre otras cosas, concentra diversos enlaces con 
otros portales sobre redes de datos. Desde este sitio se puede descargar incluso 
un conjunto de videos que ilustran varios temas asociados a las redes CISCO, 
Los ejercicios publicados en video están desarrollados en Packet Tracer. 


stfusafos 
cisco 


Planeta Cisco 


RED USERS % www.redusers.com 

Página principal de la editorial USERS, donde se puede ubicar una sección 
dedicada enteramente a las publicaciones realizadas por diversos autores de 
Latinoamérica. Entre dichas publicaciones se encuentra el coleccionable que 
permite consultar información interesante en relación con las redes de datos. 


RedUSERS PEQUENA EN TAMANO, 
GN:0Na E GRANDE EN PRESTACIONES. 
a 


a 
Int ce 
a HIOOS 
A ia 
in ERPEETO 
== DE HBO. 


a 
== a 
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PORTAL OFICIAL DE GNS3 % www.gns3.net 
Es el sitio oficial de descarga del famoso emulador gráfico de redes GNS3. 
Desde este sitio se puede acceder a una colección de recursos interesantes para 


hacer de dicho simulador una potente herramienta auxiliar para el diseño de 
redes mediante escenarios virtuales. 


GNS3 EARLY ACCESS TO THE NEW GNS3 


0 open somera soltar Ia senal complos rotos wd beta a coo post 
0 ntoro pororm, AN ul UN A havia Jefa natu: hermano uc 


lo dedon and cofre vto 
e A ap tra, 


qn desktop and server oceratina aytera 2 ol sa 


Le 


MI-1P PUBLICA % www.my-ip.es 
Página que tiene como único fin mostrar la dirección IP pública en la red de 
cualquier usuario que realice la consulta. Se trata de un sitio muy útil cuando se 


desea efectuar una serie de configuraciones sobre algún servidor o router u otro 
cambio en la configuración de estos dispositivos. 


my-ip.es 


148.204.233.242 
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SOFTONIC % www.softonic.com 

En el presente sitio se encontrará una gran selección de aplicaciones gratuitas 
y versiones de prueba de ciertas aplicaciones de software ideales para el ámbito 
de las redes informáticas. El portal permite el acceso a una lista detallada por 
categorías de los programas informáticos más importantes del momento. 


pe Descárgalo gratis antes de que 


ce muera definitivamente 


TIENDA STEREN 0 www.steren.com.mx 

Es una tienda virtual de artículos de electrónica. Desde este sitio es posible 
realizar compras desde internet. Cuenta con un amplio catálogo de productos y 
herramientas ideales para el ámbito de las redes. Para seleccionar la herramienta 
deseada basta consultar el catálogo y agregar el objeto seleccionado. 
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SDM CISCO % www.cisco.com/en/US/products/sw/secursw/ps5318/ 

Desde este enlace es posible tener acceso a SDM, el cual consiste en un producto 
que ofrece CISCO, que habitualmente incluye una interfaz gráfica, cuyo objetivo es 
auxiliar al usuario en la tarea de configuración de dispositivos de red. Este recurso 
permite simplificar la administración, específicamente de un router. 


CERTIFICACIÓN MÉXICO % www.netec.com.mx 

Sitio de información que ofrece el servicio de certificación profesional de 
TI CCNA de CISCO. Desde este enlace el usuario tiene la posibilidad de elegir 
estudiar a través de un aula virtual, ya sea desde el hogar o la oficina. Para tal 
fin, se debe llenar un formulario con los datos requeridos por el Partner. 
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CCNA % www.cisco.com/web/learning/certifications/asociate/ccna 

Enlace de la página oficial de CISCO en la que se explica la nueva modalidad de 
los programas de certificación de CISCO: CCNA Routing and Switching. Desde aquí 
se puede obtener acceso a ciertos recursos como guías temáticas, calendarios de 
cursos y herramientas de asistencia para la certificación. 
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RECURSOS EDUCATIVOS CISCO % www.learningnetwork.cisco.com 

Desde aquí es posible tener acceso a una serie interesante de enlaces al 
material didáctico publicado por CISCO. Recursos educativos como currículas, 
libros, kits electrónicos, etcétera. Se cuenta con la alternativa de solucionar dudas 
con respecto a todo el programa de capacitación CCNA R € S de CISCO. 
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Llegamos a todo el mundo »oca EA 


Cree su propia red social e implemente un 
sistema capaz de evolucionar en el tiem- 
po y responder al crecimiento del tráfico. 


Conozcalaintegración con redessocia- 
les y eltrabajo en la nube, en aplicacio- 
nes modernas y más fáciles de utilizar. 


AN 


' EXCEL 2013 
: AVANZADO 


CLAVES Y HERRAMIENTAS MÁS POTENTES. 


Conozca clavesyherramientas más poten- 
tes de esta nueva versión de Excel y logre 
el máximo de efectividad en sus planilas 


— 320 páginas / ISBN 978-987-1949-20-5 


SERVICIO 
TÉCNICO 
AVANZADO 


ooo reo a screen 


Consejos y secretos indispensables para 
serun técnico profesional e implementar la 
solución más adecuada a cada problema 


> 320 páginas / ISBN 978-987-1949-21-2 


| Access! 


PARA EL USUARIO 


Simplifiquetareas cotidianas dela mane- 
ra más productiva y obtenga información 
clave para la toma de decisiones. 


> 320 páginas / ISBN 978-987-1949-18-2 


| WiniaIsS' 


MANUAL DEL USUARIO 


Acceda a consejos indispensables y apro- 
veche al máximo el potencial de la última 
versión del sistema operativo más utlizado. 


> 320 páginas / ISBN 978-987-1949-19-9 


Illustrator 


CS6_ 


La mejor guía a la hora de generar piezas 
de comunicación gráfica, ya sean para 
web, dispostivos electrónicos o impresión. 


> 320 páginas / ISBN 978-987-1949-17-5 


GUÍA PRÁCTICA 
PARA EL USUARIO 


Aprenda a simplificar su trabajo, convirien- 
dosus datos eninformación necesaria para 
solucionar diversos problemas cotidianos. 


> 320 páginas / ISBN 978-987-1949-09-0 


o Y 


PROFESIONAL 
DEAN, 


so sor aro cin aa E 


Acceda a consejos útles y precauciones 
a tener en cuenta al aftontar cualquier 
problema que pueda presentar un equipo. 


= 320 páginas / ISBN 978-987-1949-04-5 
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Y seco imss voraz mao E 
Ellbro indicado para enfrentarlos desalíos Un libro ideal para ampliarla funcionalidad Un libro para maestros que busquen di- 
del mundo laboral actual de la mano de un delas planilas de Microsoft Excel, desarro- mnamizar su tarea educativa integrando los 
gran sistema administrativo-contable. llando macros y aplicaciones VBA. diferentes recursos que ofrecen las TICS. 
5 352 páginas / ISBN 978-987-1949-01-4 5 320 páginas / ISBN 978-987-1857-99-9 5 320 páginas / ISBN 978-987-1857-95-1 


Libroideal para introducirse en el mundo de Esta obra reúne todas las herramientas Esta obra nos enseña sobre el diseño 
la maquetación, aprendiendo técnicas para de programación que ofrece Unity para y prueba de circuitos electrónicos, sin 
crear verdaderos diseños profesionales. crearnuestros propios videojuegos en 3D. necesidad de construirlos físicamente. 
> 352 páginas / ISBN 978-987-1857-74-6 > 320 páginas / ISBN 978-987-1857-81-4 > 320 páginas / ISBN 978-987-1857-72-2 
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Y inorocus onu sa caccryas RU co sora EU src e cer a RU 
Obra imperdible para crear infraestructura Esta obra reúne todos los conocimientos Libro ideal para iniciarse en el mundo de 
virtual con las herramientas de Vmware teóricos y prácticos para convertirse en la programación y conocer las bases ne- 
según los requerimientos de cada empresa. un técnico especializado en Windows. cesarias para generar su primer software. 
=> 320 páginas / ISBN 978-987-1857-71-5 > 320 páginas / ISBN 978-987-1857-70-8 > 384 páginas / ISBN 978-987-1857-69-2 
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Descargue un capítulo gratuito 
Entérese de novedades y lanzamientos 


Compre los libros desde su casa 


y con descuentos 


Presentamos una obra fundamental para 
aprender sobre la arquitectura física y el 
funcionamiento de los equipos portátles. 


. MANUAL 
DEL 
USUARIO 


Una obra ideal para aprender todas las 
ventajas y servicios integrados que ofrece 
Office 365 para optimizar nuestro trabajo. 


Esta obra presenta las mejores aplicacio- 
nes y servicios en linea para aprovechar 
al máximo su PC y disposiivos multimedia. 


> 352 páginas / ISBN 978-987-1857-68-5 


El 
ETHICAL 
HACKING 20 


IMPLEMENTACIÓN DE UN SISTEMA PARA 
LA GESTIÓN DE LA SEGURIDAD 


Esta obra va dirigida a todos aquellos que 
quieran conocer o profundizar sobre las 
técnicas y herramientas de los hackers. 


> 320 páginas / ISBN 978-987-1857-65-4 


TÉCNICAS DE Y 


' FOTOGRAFÍA 
' PROFESIONAL 


[IDEAS DE TRABAJO Y NEGOCIO 


Este loro se dirige a fotógrafos amateurs, 
aficionados y a todos aquellos que quie- 
ran perfeccionarse en la fotografa digital 


> 320 páginas / ISBN 978-987-1857-61-6 


En este libro encontraremos una completa 
guía aplicada a la instalación y configu- 
ración de redes pequeñas y medianas. 


> 320 páginas / ISBN 978-987-1857-63-0 


> 320 páginas / ISBN 978-987-1857-48-7 


> 320 páginas / ISBN 978-987-1857-46-3 
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PARADOCENTES 


Esta obra está dirigida a todos aquellos que 
buscan ampliar sus conocimientos sobre 
Access mediante práctica cotidiana. 


Este libro nos introduce en el apasio- 
nante mundo del diseño y desarrollo 
web con Flash y AS3. 


Esta obra presenta un completo recorrido 
através de los principales conceptos sobre 
lasICsysu aplicación en la actividad diria. 
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Los temas más importantes del universo de la tecnología, desarrollados con 
la mayor profundidad y con un despliegue visual de alto impacto: 

03 (04 explicaciones teóricas, procedimientos paso a paso, 
USERS 0 videotutoriales, infografías y muchos recursos más. 


Diseño bé 
GráficogWeb 5 [A 
» 25 Fascículos Curso para dominar las principales herramientas del paquete Adobe CS3 y 
600 Páginas conocer los mejores secretos para diseñar de manera profesional. Ideal para 
» 2DVDs/2Libros — quienes se desempeñan en diseño, publicidad, productos gráficos o sitios web. 


Obra teórica y práctica que brinda las habilidades necesarias para. » 25 Fascículos 
convertirse en un profesional en composición, animación y VFX 2600 Páginas fundamento 
(efectos especiales). »2CDs/1DVD/1 Libro dde 


» 25 Fascículos Obra ideal para ingresar en el apasionante universo del diseño web y utilizar 
» 600 Páginas Intemet para una profesión rentable, Elaborada por los máximos referentes 
».4CDs en el área, con infografías y explicaciones muy didácticas. 


Brinda las habilidades necesarias para planificar, instalar y administrar» 25Fascículos A 
redes de computadoras de forma profesional. Basada principalmente en — » 600 Páginas , des 
tecnologías Cisco, busca cubrir la creciente necesidad de profesionales. »3CDs/1 Libros utero sia 
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LIBROS DE COMPUTACIÓN 


¡USERS 
ROUTERS Y SWITCHES CISCO Le 


Este libro ha sido concebido con la finalidad de preparar a los lectores interesados en obtener una certificación CCNA Routing and 
Switching en el futuro. Aborda cuestiones desarrolladas en los programas educativos de Cisco y los temas más frecuentes, relevantes 
y demandados en la actualidad en este rubro. Se trata de una obra práctica, con ejercicios y demostraciones, que resultará de utilidad 
tanto a estudiantes que incursionan en el mundo de las redes, como a especialistas que desean tener a mano una guía en español 
para configurar dispositivos de networking. 


E La demanda de personal calificado en telecomunicaciones 
requiere la formación de estudiantes en el ámbito de las e An 
redes que estén mejor preparados para el mercado laboral. 


e EN ESTE LIBRO APRENDERÁ: 


» Routers Cisco: configuración con comandos desde 10S. Control de acceso, respaldo 
de información y técnicas de recuperación ante pérdida de contraseñas. 


» Switches Cisco: creación y gestión de VLAN. Configuración de puertos e interfaces, 


replicación mediante VTP y enrutamiento entre VLAN. 
wea 


» Enrutamiento: configuración y asignación de rutas dinámicas y estáticas en un 


router. Protocolos OSPF, EIGRP y BGP para optimizar el encaminamiento de datos. 3) Gilberto González Rodríguez es 


. A Ingeniero en Sistemas computa- 
» Listas de control de acceso: características, funciones y clasificación de ACL. cionales y docente universitario 


Creación y puesta en marcha, puertos y protocolos más comunes. en el Instituto Politécnico 


A S pa . Nacional y en la Universidad San 
D> servicio DHCP: asignación de pool de direcciones y configuración de cliente- Cartos de Méico. Ha contribuido 


servidor DHCP desde router Cisco. en la redacción de la colección 


A S ' Técnico en redes y seguridad de 
» Redes privadas virtuales (VPN): arquitectura y funcionamiento. Clasificación y esta editorial yes autor del libro 


modos de encriptación. Configuración de mapa criptográfico y de VPN site-to-site. Servicio técnico: notebooks. 
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